Tenor

1. Die Beklagte wird verurteilt, das Zahlungskonto mit der IBAN […] wieder auf den Stand zu bringen, auf dem es sich ohne die Belastungen am 31.08.2017 in Höhe von 11.270 € und 16.900 € befunden hätte. Die weitere Klage wird abgewiesen.

2. Die Beklagte trägt die Kosten des Rechtsstreits.

3. Das Urteil ist vorläufig vollstreckbar gegen Sicherheitsleistung in Höhe von 34.000 €.

Beschluss

Der Streitwert wird auf 28.170,00 € festgesetzt.

Tatbestand

1

Der Kläger begehrt die Erstattung zweier von ihm nicht autorisierter Überweisungen von seinem Konto bei der Beklagten.

2

Der Kläger ist Einzelkaufmann. Er unterhält bei der beklagten Bank ein Geschäftskonto mit der IBAN […].

3

2007 vereinbarten die Parteien, dass der Kläger per Online-Banking unter Verwendung eines Anmeldenamens, einer persönlichen Geheimzahl (PIN) und einer Transaktionsnummer (TAN) Anweisungen an die Beklagte erteilen kann. Im Jahr 2011 vereinbarten die Parteien die Verwendung des smsTAN-Verfahrens. Die dazu online einzugebende Transaktionsnummer sendet die Beklagte dem Kläger auf dessen Mobiltelefon per SMS zu. Der Kläger unterhält zur Nutzung seines Mobiltelefons ([…]) bei der Fa. [X] einen Mobiltelefonvertrag.

4

Am Morgen des 30.08.2017 stellte der Kläger fest, dass sein Mobiltelefon nicht mehr funktioniert. Er meldete dies um 11:09 Uhr der [X].

5

Am 31.08.2017 um 11:36 und um 11:40 Uhr wurden unter Verwendung des smsTAN-Verfahrens per Online-Banking zwei unautorisierte Überweisungen vom Konto des Klägers in Höhe von zusammen 28.170 € an unbekannte Empfänger vorgenommen. Der Kläger bemerkte dies noch am Vormittag desselben Tages und meldete die unautorisierten Überweisungen der Beklagten sogleich. Das Geld war jedoch nicht wieder zurückzuerlangen, weil sofort nach Eingang des Geldes bei den Empfängern darüber verfügt worden war. Der Kläger erstattete unverzüglich Strafanzeige. Die Beklagte verweigerte die Rückbuchung der Kontobelastungen.

6

Der Kläger behauptet: Als er am 30.08.2017 die mangelnde Funktion seines Mobiltelefons der [X] meldete, sei deren Kundenberater von einer fehlerhaften Karte (technischer Defekt) ausgegangen und habe dem Kläger empfohlen, sich in einer Filiale eine andere SIM-Karte (Zweitkarte) geben zu lassen, was der Kläger auch getan habe. Die Originalkarte des Klägers sei von der [X] sogleich gesperrt und von ihm selbst zerstört worden. Am nächsten Tag habe der Kläger eine neue Hauptkarte erhalten sollen, dazu sei es jedoch nicht mehr gekommen.

7

Der Kläger behauptet, die unautorisierten Überweisungen hätten den mit der Beklagten vereinbarten Verfügungsrahmen überschritten, was die Beklagte zu vertreten habe. Es sei außerdem nicht auszuschließen, dass für die nicht autorisierten Überweisungen eine Sicherheitslücke in den Systemen der Beklagten ursächlich sei. Die Beklagte habe keine ausreichenden Maßnahmen zur Verhütung unerlaubter Zugriffe auf seine personenbezogenen Daten getroffen (§ 13 Abs. 7 TMG). Die Sicherheit des smsTAN-Verfahrens der Beklagten, etwa durch Einsatz regelmäßiger Penetrationstests, sei nicht dargetan. Die Beklagte hätte wegen der beträchtlichen Überweisungen an unbekannte Konten in kurzen Abständen eine Nachfragepflicht vor Ausführung der Aufträge getroffen, gegebenenfalls auch unter Einsatz eines automatisierten Monitoring-Systems. Die Online-Banking-Bedingungen der Beklagten hält der Kläger für rechtlich unzulässig.

8

Der Kläger beantragt zuletzt

9

die Beklagte zu verurteilen, das bei der Beklagten geführte Zahlungskonto mit der Nummer IBAN […] wieder auf den Stand zu bringen, auf dem sich das Zahlungskonto des Klägers ohne die Belastung der nicht autorisierten Zahlungsvorgänge in Höhe von 28.170 € zuzüglich Zinsen in Höhe von neun Prozentpunkten über dem jeweils gültigen Basiszinssatz seit dem 13.09.2017 befunden hätte.

10

Die Beklagte beantragt,

11

die Klage abzuweisen.

12

Die Beklagte behauptet, in das Vertragsverhältnis der Parteien seien ihre Bedingungen für das Online-Banking in der Fassung vom Oktober 2009 einbezogen worden, wegen deren Inhalt im Einzelnen auf die Anlage B6 Bezug genommen wird. Diese Bedingungen sehen insbesondere eine Haftung bereits für einfache Fahrlässigkeit vor, wenn der Kunde kein Verbraucher ist. Dem Kläger seien die Bedingungen zur Kenntnis gegeben worden, ohne dass der Kläger widersprochen habe. Die Einbeziehung sei auch durch widerspruchslose Nutzung des Online-Bankings durch den Kläger erfolgt.

13

Die Beklagte behauptet, am 31.08.2017 um 11:29 hätten die Täter auf den Namen des Klägers und unter Verwendung dessen Zugangsdaten eine Ersatz-SIM-Karte ungeklärter Herkunft über das Online-Kundencenter der [X] aktiviert, welche von der [X] nach eigenen Angaben nicht versandt worden sei. Auf diese Weise hätten die Täter die an die Rufnummer des Klägers versandten SMS mit den für die unautorisierten Überweisungsaufträge verwendeten Transaktionsnummern (TANs) abgefangen. Nach Auffassung der Beklagten liege ein Fehlverhalten der [X] vor, da diese eine nicht von ihr versandte Ersatzkarte freigeschaltet habe. Der Kläger müsse für die [X] als seine Erfüllungsgehilfin einstehen, weil der Kläger deren Dienste dazu eingesetzt habe, um das Online-Banking nutzen zu können.

14

Die Beklagte behauptet, das von ihr eingesetzte smsTAN-Verfahren entspreche dem Stand der Technik. Für beide Überweisungsaufträge am 31.08.2017 seien die mit dem Kläger vereinbarten personalisierten Sicherheitsmerkmale und Authentifizierungsinstrumente eingesetzt worden. Bei der Beklagten könnten PIN und TANs nicht abhanden gekommen sein, weil sie der Beklagen nicht vorlägen. Die Systeme der Beklagten seien nicht fehlerhaft gewesen. Da die Schadensursache im Einflussbereich des Klägers liege, trage dieser die Darlegungs- und Beweislast für seine Behauptung, keine Pflichtverletzung begangen zu haben.

15

Die Beklagte ist der Auffassung, der Kläger habe die nicht autorisierten Zahlungen durch Verstoß gegen seine Geheimhaltungspflicht und durch verspätete Anzeige des Verlusts des Zugriffs auf sein Mobiltelefon bei der Beklagten selbst zu vertreten.

16

Es sei davon auszugehen, dass der Kläger die Vertraulichkeit der missbräuchlich genutzten Zugangsdaten zum Online-Banking-Portal der Beklagten nicht mit der gebotenen Sorgfalt gewährleistet habe. Auch habe der Kläger mutmaßlich sein Mobiltelefon nicht sicher vor dem Zugriff Dritter verwahrt. Der Kläger habe zudem seinen Virenscanner nicht rechtzeitig aktualisiert. An die erforderlichen Zugangsdaten könnten die Täter nur gekommen sein, indem der Kläger diese Daten persönlich weitergegeben habe, sie auf eine Phishing-E-Mail preisgegeben habe oder ein Phishing-Trojaner die Daten abgefangen habe. Der Kläger habe keine ausreichenden Sicherheitsvorkehrungen dargetan. Auch eine unbemerkte Drive-by-Infektion könne durch Öffnen von E-Mail-Anhängen aus nicht vertrauenswürdiger Quelle seitens des Klägers erfolgt sein.

17

Eine Pflichtverletzung des Klägers liege vor allem darin, dass der Kläger die nicht mehr funktionierende SIM-Karte am 30.08.2017 nur seiner Telekommunikationsanbieterin, nicht aber auch der Beklagten meldete, so dass diese keine Gelegenheit zur Sperrung des Online-Banking-Zugangs hatte. Eine defekte SIM-Karte sei als Verlust des Authentifizierungsinstruments einzuordnen, weil dieses nicht mehr nutzbar war. Anzeigepflichtig sei im Übrigen bereits die bloße Gefahr einer nicht autorisierten Verwendung. Eine technische Störung begründe eine solche Gefahr.

18

Die Beklagte beantragt zur Herstellung von Waffengleichheit die Beiziehung der strafrechtlichen Ermittlungsakte und vertritt die Auffassung, mangels Verletzteneigenschaft kein eigenes Akteneinsichtsrecht zu haben.

19

Die Parteien haben der [X] den Streit verkündet.

Entscheidungsgründe

20

A. Der Rechtsstreit ist entscheidungsreif. Insbesondere besteht keine Veranlassung zur vorbereitenden Beiziehung der strafrechtlichen Ermittlungsakte. Soweit die Beklagte deren Beiziehung beantragt, fehlt es an der Angabe des Zwecks der begehrten Beiziehung. Die Beiziehung wird nicht zum Zwecke des Beweises einer konkreten Behauptung, also als Beweismittel, beantragt. Das Gericht ist zur Beiziehung einer pauschal in Bezug genommenen Akte mit dem Ziel der Ausforschung des Sachverhalts nicht verpflichtet. Im vorliegenden Fall kommt hinzu, dass die Beklagte gemäß § 406e StPO selbst Einsicht in die strafrechtliche Ermittlungsakte nehmen könnte (vgl. OLG Hamm, Beschluss vom 31. Juli 2001 - 9 U 98/94 -). Sie ist Verletzte des Computerbetrugs durch nicht autorisierte Zahlungsvorgänge (§ 675u BGB), wobei im Rahmen des Betrugstatbestands schon eine Vermögensgefährdung einen Schaden begründen kann (Schönke/Schröder/Perron StGB § 263a Rn. 24). Soweit die Beklagte ein Akteneinsichtsrecht ihrerseits in Abrede stellt, ist nicht dargetan, dass sie Akteneinsicht auch nur beantragt hätte, wie es ihr zumutbarerweise obliegt.

21

B. Die Klage ist zulässig und größtenteils auch begründet. Die §§ 675c ff. BGB sind dabei gemäß Art. 229 § 45 Abs. 2 EGBGB in ihrer bis zum 13. Januar 2018 geltenden Fassung anzuwenden.

22

I. Gemäß § 675u BGB a.F. kann der Kläger von der Beklagten verlangen, sein Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung mit den beiden nicht autorisierten Zahlungsvorgängen am 31.08.2017 in Höhe von 11.270 € und 16.900 € befunden hätte. Dass die Voraussetzungen des § 675u BGB a.F. vorliegen, ist zwischen den Parteien nicht streitig.

23

II. Der Beklagten steht gegen den Kläger kein Schadensersatzanspruch aus § 675v BGB a.F. zu, welchen sie dem Anspruch aus § 675u BGB a.F. entgegen halten könnte.

24

1. Die nicht autorisierte Zahlungsvorgänge am 31.08.2017 beruhten nicht auf der Nutzung eines verlorengegangenen, gestohlenen oder sonst abhanden gekommenen Zahlungsauthentifizierungsinstruments (§ 675v Abs. 1 S. 1 BGB a.F.).

25

Ein Zahlungsauthentifizierungsinstrument ist nach § 1 ZAG a.F. jedes personalisierte Instrument oder Verfahren, das zwischen dem Zahlungsdienstnutzer und dem Zahlungsdienstleister für die Erteilung von Zahlungsaufträgen vereinbart wird und das vom Zahlungsdienstnutzer eingesetzt wird, um einen Zahlungsauftrag zu erteilen. Der Begriff des Abhandenkommens entspricht dem des § 935 BGB (BeckOK BGB/Schmalenbach BGB § 675v BGB, Rn. 3). Voraussetzung ist der Verlust des unmittelbaren Besitzes gegen oder ohne den Willen des Nutzers (MüKoBGB/Zetzsche BGB § 675v BGB, Rn. 15).

26

Fraglich ist im vorliegenden Fall bereits, ob das Mobiltelefon im smsTAN-Verfahren als solches ein Zahlungsauthentifizierungsinstrument ist oder nur der Einsatz auf diese Weise erhaltener Transaktionsnummern (so Staudinger/Omlor (2012) § 675c BGB, Rn. 17 m.w.N.). Jedenfalls ist dem Kläger weder sein Mobiltelefon noch seine SIM-Karte verlorengegangen, gestohlen worden oder sonst abhanden gekommen. Der Kläger hat den Besitz an seinem Mobiltelefon und der darin befindlichen SIM-Karte nicht verloren. Wenn die SIM-Karte nicht mehr funktionierte, so stellte dies nach dem eindeutigen Wortlaut kein Abhandenkommen dar. Es wäre dem Nutzer eines Mobiltelefons auch unzumutbar, jede Funktionsstörung sämtlichen Anbietern der über das Mobiltelefon zugänglichen Dienste melden zu müssen, zumal Funktionsstörungen vielfältige technische Ursachen haben können.

27

Zu keinem anderen Ergebnis führt der Vorwurf der Beklagten, die Streitverkündete als Mobilfunkanbieterin des Klägers habe durch Freischaltung der nicht von der Streitverkündeten an den Kläger versandten Ersatz-SIM-Karte die unautorisierten Transaktionen schuldhaft ermöglicht. Dem Kläger gemäß § 278 BGB ein Verschulden der Streitverkündeten wegen Übermittlung der SMS mit den eingesetzten Transaktionsnummern (TANs) an Unbefugte zuzurechnen, scheitert schon an § 675m Abs. 2 BGB, welcher die Gefahr der Versendung personalisierter Sicherheitsmerkmale an den Zahlungsdienstnutzer dem Zahlungsdienstleister zuweist. Die Vorschrift gilt auch für die elektronische Versendung (MüKoBGB/Jungmann, § 675m BGB, Rn. 37). Auch wenn der Kläger die Streitverkündete als Telekommunikationsanbieterin ausgewählt hat, ist es gleichwohl interessengerecht, das Übermittlungsrisiko der Beklagten als Zahlungsdienstleisterin zuzuweisen, weil sich deren Dienstleistung - nämlich das Online-Banking im smsTAN-Verfahren - überhaupt nur mit Mobilfunkvertrag nutzen lässt.

28

Im Übrigen liegt auch in der Person der Streitverkündeten kein Fall des § 675v Abs. 1 S. 1 BGB a.F. vor. Ihr ist die für die nicht autorisierten Zahlungsvorgänge genutzte SIM-Karte weder verlorengegangen, gestohlen worden oder sonst abhanden gekommen. Nach Angaben der Streitverkündeten soll die genutzte Ersatz-SIM-Karte auf ungeklärte Weise in die Hände der Täter gelangt sein, womit ein Abhandenkommen nicht dargetan ist. Wenn es tatsächlich möglich gewesen sein sollte, eine nicht von der Streitverkündeten an den Kläger versandte Ersatz-SIM-Karte anstelle der Karte des Klägers freizuschalten und einzusetzen, so liegt zwar eine schwerwiegende Sicherheitslücke im Verantwortungsbereich der Streitverkündeten nahe, aber eben kein Fall des § 675v Abs. 1 S. 1 BGB a.F. Etwaige Ansprüche der Beklagten gegen die Streitverkündete sind nicht Gegenstand dieses Rechtsstreits.

29

2. Es liegt kein Fall vor, in dem der Schaden infolge einer sonstigen missbräuchlichen Verwendung eines Zahlungsauthentifizierungsinstruments entstanden ist und der Zahler die personalisierten Sicherheitsmerkmale nicht sicher aufbewahrt hat (§ 675v Abs. 1 S. 2 BGB a.F.).

30

Personalisierte Sicherheitsmerkmale sind solche, die eine Authentifizierung erlauben, wie TAN und PIN im Online-Banking (MüKoBGB/Jungmann BGB § 675j BGB, Rn. 40 f.). Sicher aufbewahrt sind die Merkmale, wenn der Zahler alle zumutbaren Vorkehrungen trifft, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen (vgl. § 675l S. 1 BGB a.F.).

31

Es ist im vorliegenden Fall nicht nachgewiesen, dass der Kläger die personalisierten Sicherheitsmerkmale unsicher aufbewahrt habe. Es ist bereits nicht dargetan, dass der Kläger seine Online-Banking-PIN überhaupt (außerhalb seines Gedächtnisses) „aufbewahrt“ hat.

32

Alleine der (klägerseits bestrittene) Umstand, dass die korrekte PIN zur Durchführung der Überweisung zum Einsatz gekommen sei, lässt nicht darauf schließen, dass der Kläger die PIN nicht sicher aufbewahrt habe. Ein entsprechender Erfahrungssatz im Sinne eines typischen, regelhaften Geschehensablaufs ist nicht ersichtlich. Auch bei Anwendung der zumutbaren Sorgfalt ist ein unbefugter Zugriff auf personalisierte Sicherheitsmerkmale erfahrungsgemäß nicht auszuschließen. Es kommt immer wieder vor, dass Nutzereingaben wie die Eingabe eines PIN-Codes mithilfe von Schadsoftware abgefangen werden. Dabei ist allgemein bekannt, dass die Infektion eines informationstechnischen Systems mit Schadsoftware häufig auch vom Anwender unbemerkt beim Besuch von Webseiten (sogenannte Drive-by-Downloads) erfolgt (vgl. BSI, Die Lage der IT-Sicherheit in Deutschland 2017; BKA, Bundeslagebild Cybercrime 2016), woraus dem Anwender kein Vorwurf zu machen ist. Auch durch Öffnen von E-Mails aus (scheinbar) vertrauenswürdiger Quelle kann eine unbemerkte Infektion mit Schadsoftware erfolgen, ohne dass dem Anwender daraus ein Vorwurf zu machen ist. Selbst aktuelle Virenschutzprogramme bieten stets nur gegen einen Teil der vorhandenen Schadprogramme Schutz.

33

Eine Umkehr der Beweislast ergibt sich nicht daraus, dass die Aufbewahrung der Sicherheitsmerkmale ausschließlich in der Sphäre des Zahlers erfolgt und die Beklagte darauf keinen Einfluss hat. Aus dem Wortlaut des § 675v Abs. 1 S. 2 BGB ergibt sich eindeutig, dass die unsichere Aufbewahrung Voraussetzung eines Anspruchs des Zahlungsdienstleisters ist, wobei die Anspruchsvoraussetzungen nach allgemeinen Grundsätzen von demjenigen nachzuweisen sind, der den Anspruch geltend macht. Auch § 675w S. 3 Nr. 3 i.V.m. § 675l S. 1 BGB a.F. geht ersichtlich davon aus, dass den Zahlungsdienstleister hinsichtlich der Frage der sicheren Aufbewahrung personalisierter Sicherheitsmerkmale die Beweislast trifft (so auch MüKoBGB/Zetzsche, § 675v BGB, Rn. 54).

34

Der Beklagten kommen die Grundsätze der sekundären Darlegungslast zugute. Danach muss der Zahler dem Vorwurf der unsicheren Aufbewahrung substantiiert entgegen treten und zu den Sicherheitsvorkehrungen vortragen. Dies hat der Kläger hier in der mündlichen Verhandlung ausreichend getan. Die Beklagte hatte Gelegenheit, den Kläger zu den angewandten Sicherheitsvorkehrungen zu befragen. Diese Befragung hat keinen Umstand ergeben, aus welcher dem Kläger der Vorwurf einer unsicheren Aufbewahrung seiner PIN zu machen wäre.

35

Dem Zahlungsdienstleister ist es zumutbar, das verbleibende Restrisiko der Unaufklärbarkeit der Schadensursache zu tragen. Denn sein gewerbliches Geschäftsmodell des Angebots von Zahlungsdiensten über das Internet ist untrennbar mit einem gewissen Verlustrisiko verbunden, welches einzukalkulieren ist.

36

Dem Kläger gemäß § 278 BGB ein Verschulden der Streitverkündeten wegen Übermittlung der SMS mit den eingesetzten Transaktionsnummern (TANs) an Unbefugte zuzurechnen, scheitert schon an § 675m Abs. 2 BGB, wie oben ausgeführt worden ist. Die Streitverkündete ist im Übrigen bezüglich § 675v Abs. 1 S. 2 BGB a.F. nicht Erfüllungsgehilfin des Klägers, weil sich der Kläger ihrer nicht zur Erfüllung seiner Pflicht zur sicheren Aufbewahrung der personalisierten Sicherheitsmerkmale bedient hat. Der Streitverkündeten oblag zwar die Übermittlung der Transaktionsnummern (TANs), die von den Tätern missbräuchlich eingesetzt wurden. Die Übermittlung ist aber nach dem allgemeinen Sprachverständnis zu unterscheiden von der Aufbewahrung.

37

3. Der Kläger hat die nicht autorisierten Zahlungsvorgänge nicht durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten gemäß § 675l BGB herbeigeführt (§ 675v Abs. 2 Nr. 1 BGB a.F.).

38

a) Es ist nicht nachgewiesen, dass der Kläger die Zahlungsvorgänge durch vorsätzliche oder grob fahrlässige Verletzung der Pflicht herbeigeführt habe, alle zumutbaren Vorkehrungen zu treffen, um unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen (§ 675l S. 1 BGB a.F.).

39

aa) Dass der Kläger zumutbare Vorkehrungen zum Schutz von PIN und TAN unterlassen habe, hat die Beklagte nicht nachgewiesen. Es kann offen bleiben, ob der Kläger auf seinem zum Online-Banking genutzten PC zum Schutz vor Schadsoftware ein Virenschutzprogramm installieren, verwenden und auf dem aktuellen Stand halten musste, weil der Kläger unwiderlegt vorträgt, dies getan zu haben. Soweit die Beklagte die Richtigkeit dieses Vortrags bestreitet, verkennt sie, dass ihr der Nachweis einer Pflichtverletzung obliegt und den Kläger insoweit lediglich eine sekundäre Darlegungslast trifft. Die sekundäre Darlegungslast schließt nicht die Verpflichtung zur Vorlage von Belegen oder Nachweisen ein. Im Übrigen bestehen auch Bedenken gegen die Annahme einer Pflicht zur Installation und Verwendung einer besonderen Software zum Schutz vor Schadsoftware, soweit sie nicht bereits Bestandteil marktüblicher Betriebssysteme ist (entgegen Spindler in: Kullmann/Pfister/Stöhr/Spindler, Produzentenhaftung, 02/17, Produktverantwortung und Haftung im IT-Bereich), was die Beklagte nicht geltend macht. Der Bundesgerichtshof hat im Zusammenhang mit WLAN-Routern jedenfalls für private Verwender ausgesprochen, es würde diese unzumutbar belasten und wäre damit unverhältnismäßig, wenn ihnen zur Pflicht gemacht würde, die Netzwerksicherheit fortlaufend dem neuesten Stand der Technik anzupassen und dafür entsprechende finanzielle Mittel aufzuwenden (BGH, Urteil vom 12. Mai 2010 - I ZR 121/08 -, BGHZ 185, 330-341, Rn. 23). Der Bundesgerichtshof fordert lediglich die zweckentsprechende Anwendung der im Kaufzeitpunkt marktüblichen Sicherungen, wozu im entschiedenen Fall die Vergabe eines individuellen Passworts zum „Mindeststandard“ der IT-Sicherheit gezählt wurde (a.a.O.). Vom privaten Käufer eines marktüblichen PC, von dem technische Vorkenntnisse nicht unbedingt erwartet werden können, dürfte die Installation und Verwendung von Schutzsoftware danach nur zu fordern sein, soweit diese mitgeliefert wird und ihre Aktivierung bei Inbetriebnahme angeboten wird. Zu höheren Anforderungen an Verbraucher besteht keine Veranlassung, weil die (optionale) Bereitstellung von Sicherheitsvorkehrungen eher von den gewerblichen Herstellern informationstechnischer Geräte geleistet werden kann als von deren Verwendern. Ob für Einzelgewerbetreibende höhere Anforderungen gelten, kann hier offen bleiben.

40

Es gibt auch keinen Erfahrungssatz, wonach bei einem Missbrauch des Online-Bankings bereits eine korrekte Aufzeichnung der Nutzung eines Zahlungsauthentifizierungsinstruments und die beanstandungsfreie Prüfung der Authentifizierung für eine grob fahrlässige Pflichtverletzung des Zahlungsdienstnutzers sprechen, sodass sich der Zahlungsdienstleister für den ihm im Rahmen von § 675v Abs. 2 BGB a.F. obliegenden Nachweis auch nicht auf den Beweis des ersten Anscheins stützen kann (BGH, Urteil vom 26. Januar 2016 - XI ZR 91/14 -, BGHZ 208, 331-357, Rn. 68). Wie oben ausgeführt, ist es nicht ungewöhnlich, dass es ohne Verschulden des Zahlenden zu unautorisierten Transaktionen kommt.

41

Eine Umkehr der Beweislast ergibt sich nicht daraus, dass die Aufbewahrung der Sicherheitsmerkmale ausschließlich in der Sphäre des Zahlers erfolgt und die Beklagte darauf keinen Einfluss hat. Eine solche Umkehr der Beweislast hat der Bundesgerichtshof in der genannten Entscheidung zurecht nicht angenommen. Aus dem Wortlaut des § 675v Abs. 2 Nr. 1 BGB a.F. ergibt sich eindeutig, dass die schuldhafte Pflichtverletzung Voraussetzung eines Anspruchs des Zahlungsdienstleisters ist, wobei die Anspruchsvoraussetzungen nach allgemeinen Grundsätzen von demjenigen nachzuweisen sind, der den Anspruch geltend macht. Auch § 675w S. 3 Nr. 3 i.V.m. § 675l S. 1 BGB a.F. geht ersichtlich davon aus, dass den Zahlungsdienstleister hinsichtlich der Frage der sicheren Aufbewahrung personalisierter Sicherheitsmerkmale die Beweislast trifft (so auch MüKoBGB/Zetzsche, § 675v BGB, Rn. 54). Schließlich fordert § 675w S. 4 BGB a.F. die Vorlage unterstützender Beweismittel, um Betrug, Vorsatz oder grobe Fahrlässigkeit des Zahlungsdienstnutzers nachzuweisen, ohne dass die Beklagte im vorliegenden Fall solche Beweismittel vorgelegt hätte.

42

Der Beklagten kommen die Grundsätze der sekundären Darlegungslast zugute. Danach muss der Zahler dem Vorwurf der unzureichenden Sicherungsvorkehrungen substantiiert entgegen treten und zu den Sicherheitsvorkehrungen vortragen. Dies hat der Kläger hier in der mündlichen Verhandlung ausreichend getan. Die Beklagte hatte Gelegenheit, den Kläger zu den angewandten Sicherheitsvorkehrungen zu befragen. Diese Befragung hat keinen Umstand ergeben, aus welcher dem Kläger der Vorwurf einer unsicheren Aufbewahrung seiner personalisierten Sicherheitsmerkmale zu machen wäre. Soweit die Beklagte in dem nachgelassenen Schriftsatz vom 01.06.2018 näheren Vortrag des Klägers zu Schutzvorkehrungen bezüglich seines Mobiltelefons vermisst, ist nicht dargetan, welche zumutbaren Schutzvorkehrungen bezüglich des Mobiltelefons (über den üblichen Passwortschutz hinaus) der Kläger außer Acht gelassen haben soll. Soweit die Beklagte in dem nachgelassenen Schriftsatz vom 01.06.2018 die Vermutung äußert, der Kläger könne einen E-Mail-Anhang aus nicht vertrauenswürdiger Quelle geöffnet haben, bestreitet der Kläger einen derartigen Infektionsweg mit nachgelassenem Schriftsatz vom 29.05.2018 ausdrücklich.

43

Dem Zahlungsdienstleister ist es zumutbar, das verbleibende Restrisiko der Unaufklärbarkeit der Schadensursache zu tragen. Denn sein gewerbliches Geschäftsmodell des Angebots von Zahlungsdiensten über das Internet ist untrennbar mit einem gewissen Verlustrisiko verbunden, welches einzukalkulieren ist.

44

Dem Kläger gemäß § 278 BGB eine etwaige Pflichtverletzung der Streitverkündeten wegen Übermittlung der SMS mit den eingesetzten Transaktionsnummern (TANs) an Unbefugte zuzurechnen, scheitert schon an § 675m Abs. 2 BGB, wie oben ausgeführt worden ist.

45

bb) Da bereits keine Pflichtverletzung seitens des Klägers nachgewiesen ist, kommt es nicht mehr darauf an, ob der Kläger unzureichende Sicherungsvorkehrungen zu vertreten hätte und ob sie für den Schaden ursächlich geworden sind.

46

Gleichwohl gibt der zentrale Streitpunkt des Haftungsmaßstabs Veranlassung zu der Feststellung, dass der Kläger nicht aufgrund vertraglicher Vereinbarung schon für leicht fahrlässige Pflichtverletzungen haftete. Der Beklagten ist der Nachweis einer solchen von § 675v Abs. 2 BGB a.F. abweichenden Vereinbarung der Parteien nicht gelungen. Soweit die Beklagte auf allgemeine Geschäftsbedingungen („Bedingungen für das Online-Banking“) verweist, ist deren Einbeziehung in den Vertrag nicht nachgewiesen. Allgemeine Geschäftsbedingungen werden nur dann Bestandteil eines Vertrags, wenn der Verwender bei Vertragsschluss die andere Vertragspartei auf sie hinweist, der anderen Vertragspartei die Möglichkeit der Kenntnisnahme verschafft und wenn die andere Vertragspartei mit ihrer Geltung einverstanden ist (§ 305 Abs. 2 BGB). Im vorliegenden Fall ist bereits nicht nachgewiesen, dass der Kläger auf die „Bedingungen für das Online-Banking“ hingewiesen worden sei, obwohl dies anlässlich der Vereinbarung des smsTAN-Verfahrens zwischen den Parteien im Jahr 2011 nahe gelegen hätte. Die Beklagte hätte sich bei dieser Gelegenheit unschwer von dem Kläger die Geltung ihrer Bedingungen bestätigen lassen können, wie es im Jahr 2007 für die damaligen Geschäftsbedingungen auch geschehen war. Bei der erstmaligen Vereinbarung des Online-Banking-Zugangs zwischen den Parteien im Jahr 2007 verwendete die Beklagte die „Bedingungen für das Online-Banking“, auf welche sie sich im Rechtsstreit beruft, jedoch unstreitig noch nicht. Dass die Beklagte alle Kunden auf ihre 2009 eingeführten „Bedingungen für das Online-Banking“ hingewiesen haben will und dass deswegen auch dem Kläger ein entsprechender Hinweis zugegangen sei, ist bestritten und nicht nachgewiesen. Ist der Kläger demnach nicht nachgewiesenermaßen auf die „Bedingungen für das Online-Banking“ hingewiesen worden, so konnte die Beklagte auch die weitere Nutzung des Online-Banking durch den Kläger nicht als Einverständnis in deren Geltung verstehen.

47

b) Es ist nicht nachgewiesen, dass der Kläger die Zahlungsvorgänge durch vorsätzliche oder grob fahrlässige Verletzung der Pflicht herbeigeführt habe, dem Zahlungsdienstleister den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die sonstige nicht autorisierte Nutzung eines Zahlungsauthentifizierungsinstruments unverzüglich anzuzeigen, nachdem er hiervon Kenntnis erlangt hat (§ 675l S. 2 BGB a.F.).

48

Der Kläger hatte vor Durchführung der Überweisungen keine Kenntnis von einer missbräuchlichen Verwendung oder sonst nicht autorisierten Nutzung eines Zahlungsauthentifizierungsinstruments. Nachdem er nachträglich Kenntnis davon erlangt hatte, setzte er unstreitig unverzüglich die Beklagte in Kenntnis.

49

Der Kläger hatte vor Durchführung der Überweisungen keine Kenntnis von einem Verlust oder Diebstahl seines Mobiltelefons oder seiner SIM-Karte. Fraglich ist im vorliegenden Fall bereits, ob das Mobiltelefon im smsTAN-Verfahren als solches ein Zahlungsauthentifizierungsinstrument ist oder nur der Einsatz auf diese Weise erhaltener Transaktionsnummern (so Staudinger/Omlor (2012) § 675c BGB, Rn. 17 m.w.N.). Jedenfalls ist dem Kläger weder sein Mobiltelefon noch seine SIM-Karte verlorengegangen oder gestohlen worden. Der Kläger hat den Besitz an seinem Mobiltelefon und der darin befindlichen SIM-Karte nicht verloren. Dass die SIM-Karte nicht mehr funktionierte, stellte nach dem eindeutigen Gesetzeswortlaut keinen Verlust und auch keinen Diebstahl dar. Es wäre dem Nutzer eines Mobiltelefons auch unzumutbar, jede Funktionsstörung sämtlichen Anbietern der über das Mobiltelefon zugänglichen Dienste melden zu müssen, zumal Funktionsstörungen vielfältige technische Ursachen haben können.

50

Soweit die Beklagte die Ansicht vertritt, der Kläger hätte ihr schon die Gefahr einer missbräuchlichen Verwendung anzeigen müssen, trifft dies nicht zu. Vertraglich vereinbart wurde eine derartige Anzeigepflicht nicht, weil die von der Beklagten angeführten Geschäftsbedingungen - wie bereits ausgeführt - nicht nachgewiesenermaßen Vertragsbestandteil geworden sind. Auch gesetzlich besteht keine Pflicht zur Anzeige jeder Gefahr einer missbräuchlichen Verwendung. Der eindeutige Gesetzeswortlaut des § 675l S. 2 BGB a.F. setzt - im Einklang mit Art. 56 RiL 2007/64/EG - ausdrücklich positive „Kenntnis“ des Zahlers vom Verlust oder den weiteren beschriebenen Vorfällen voraus. Im Übrigen ist nicht nachgewiesen, dass der Kläger Kenntnis auch nur von der Gefahr einer missbräuchlichen Verwendung seiner Rufnummer hatte. Dem Kläger ist nicht zu widerlegen, dass er lediglich von einer technischen Störung ausging.

51

4. Der Kläger hat die nicht autorisierten Zahlungsvorgänge nicht durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments herbeigeführt (§ 675v Abs. 2 Nr. 2 BGB a.F.). Die Beklagte hat - wie bereits ausgeführt - nicht nachgewiesen, dass die von ihr angeführten Geschäftsbedingungen Vertragsbestandteil geworden seien.

52

III. Einen Anspruch auf Verzinsung hat der Kläger nicht. Der Anspruch aus § 675u S. 2 BGB auf Rückgängigmachung der Belastungsbuchung ist nicht verzinslich, weil er keine Geldschuld im Sinne des § 288 BGB darstellt.

53

C. Die Kostenentscheidung beruht auf § 92 Abs. 2 Nr. 1 ZPO, die Entscheidung über die vorläufige Vollstreckbarkeit auf § 709 ZPO.


ra.de-Urteilsbesprechung zu Landgericht Kiel Urteil, 22. Juni 2018 - 12 O 562/17

Urteilsbesprechung schreiben

0 Urteilsbesprechungen zu Landgericht Kiel Urteil, 22. Juni 2018 - 12 O 562/17

Referenzen - Gesetze

Landgericht Kiel Urteil, 22. Juni 2018 - 12 O 562/17 zitiert 19 §§.

Zivilprozessordnung - ZPO | § 92 Kosten bei teilweisem Obsiegen


(1) Wenn jede Partei teils obsiegt, teils unterliegt, so sind die Kosten gegeneinander aufzuheben oder verhältnismäßig zu teilen. Sind die Kosten gegeneinander aufgehoben, so fallen die Gerichtskosten jeder Partei zur Hälfte zur Last. (2) Das Ger

Zivilprozessordnung - ZPO | § 709 Vorläufige Vollstreckbarkeit gegen Sicherheitsleistung


Andere Urteile sind gegen eine der Höhe nach zu bestimmende Sicherheit für vorläufig vollstreckbar zu erklären. Soweit wegen einer Geldforderung zu vollstrecken ist, genügt es, wenn die Höhe der Sicherheitsleistung in einem bestimmten Verhältnis zur

Bürgerliches Gesetzbuch - BGB | § 288 Verzugszinsen und sonstiger Verzugsschaden


#BJNR001950896BJNE028103377 (1) Eine Geldschuld ist während des Verzugs zu verzinsen. Der Verzugszinssatz beträgt für das Jahr fünf Prozentpunkte über dem Basiszinssatz. (2) Bei Rechtsgeschäften, an denen ein Verbraucher nicht beteiligt ist, betr

Bürgerliches Gesetzbuch - BGB | § 305 Einbeziehung Allgemeiner Geschäftsbedingungen in den Vertrag


(1) Allgemeine Geschäftsbedingungen sind alle für eine Vielzahl von Verträgen vorformulierten Vertragsbedingungen, die eine Vertragspartei (Verwender) der anderen Vertragspartei bei Abschluss eines Vertrags stellt. Gleichgültig ist, ob die Bestimmung

Bürgerliches Gesetzbuch - BGB | § 278 Verantwortlichkeit des Schuldners für Dritte


Der Schuldner hat ein Verschulden seines gesetzlichen Vertreters und der Personen, deren er sich zur Erfüllung seiner Verbindlichkeit bedient, in gleichem Umfang zu vertreten wie eigenes Verschulden. Die Vorschrift des § 276 Abs. 3 findet keine Anwen

Zahlungsdiensteaufsichtsgesetz - ZAG 2018 | § 1 Begriffsbestimmungen


(1) Zahlungsdienstleister sind 1. Unternehmen, die gewerbsmäßig oder in einem Umfang, der einen in kaufmännischer Weise eingerichteten Geschäftsbetrieb erfordert, Zahlungsdienste erbringen, ohne Zahlungsdienstleister im Sinne der Nummern 2 bis 5 zu s

Strafgesetzbuch - StGB | § 263a Computerbetrug


(1) Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, daß er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch

Strafprozeßordnung - StPO | § 406e Akteneinsicht


(1) Für den Verletzten kann ein Rechtsanwalt die Akten, die dem Gericht vorliegen oder diesem im Falle der Erhebung der öffentlichen Klage vorzulegen wären, einsehen sowie amtlich verwahrte Beweisstücke besichtigen, soweit er hierfür ein berechtigtes

Bürgerliches Gesetzbuch - BGB | § 935 Kein gutgläubiger Erwerb von abhanden gekommenen Sachen


(1) Der Erwerb des Eigentums auf Grund der §§ 932 bis 934 tritt nicht ein, wenn die Sache dem Eigentümer gestohlen worden, verloren gegangen oder sonst abhanden gekommen war. Das Gleiche gilt, falls der Eigentümer nur mittelbarer Besitzer war, dann,

Bürgerliches Gesetzbuch - BGB | § 675j Zustimmung und Widerruf der Zustimmung


(1) Ein Zahlungsvorgang ist gegenüber dem Zahler nur wirksam, wenn er diesem zugestimmt hat (Autorisierung). Die Zustimmung kann entweder als Einwilligung oder, sofern zwischen dem Zahler und seinem Zahlungsdienstleister zuvor vereinbart, als Genehmi

Bürgerliches Gesetzbuch - BGB | § 675u Haftung des Zahlungsdienstleisters für nicht autorisierte Zahlungsvorgänge


Im Fall eines nicht autorisierten Zahlungsvorgangs hat der Zahlungsdienstleister des Zahlers gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der

Bürgerliches Gesetzbuch - BGB | § 675v Haftung des Zahlers bei missbräuchlicher Nutzung eines Zahlungsinstruments


(1) Beruhen nicht autorisierte Zahlungsvorgänge auf der Nutzung eines verloren gegangenen, gestohlenen oder sonst abhandengekommenen Zahlungsinstruments oder auf der sonstigen missbräuchlichen Verwendung eines Zahlungsinstruments, so kann der Zahlung

Bürgerliches Gesetzbuch - BGB | § 675c Zahlungsdienste und E-Geld


(1) Auf einen Geschäftsbesorgungsvertrag, der die Erbringung von Zahlungsdiensten zum Gegenstand hat, sind die §§ 663, 665 bis 670 und 672 bis 674 entsprechend anzuwenden, soweit in diesem Untertitel nichts Abweichendes bestimmt ist. (2) Die Vors

Bürgerliches Gesetzbuch - BGB | § 675l Pflichten des Zahlungsdienstnutzers in Bezug auf Zahlungsinstrumente


(1) Der Zahlungsdienstnutzer ist verpflichtet, unmittelbar nach Erhalt eines Zahlungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Er hat dem Zahlungsdienstleister

Bürgerliches Gesetzbuch - BGB | § 675m Pflichten des Zahlungsdienstleisters in Bezug auf Zahlungsinstrumente; Risiko der Versendung


(1) Der Zahlungsdienstleister, der ein Zahlungsinstrument ausgibt, ist verpflichtet,1.unbeschadet der Pflichten des Zahlungsdienstnutzers gemäß § 675l Absatz 1 sicherzustellen, dass die personalisierten Sicherheitsmerkmale des Zahlungsinstruments nur

Bürgerliches Gesetzbuch - BGB | § 675w Nachweis der Authentifizierung


Ist die Autorisierung eines ausgeführten Zahlungsvorgangs streitig, hat der Zahlungsdienstleister nachzuweisen, dass eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beein

Referenzen - Urteile

Urteil einreichen

Landgericht Kiel Urteil, 22. Juni 2018 - 12 O 562/17 zitiert oder wird zitiert von 1 Urteil(en).

Landgericht Kiel Urteil, 22. Juni 2018 - 12 O 562/17 zitiert 1 Urteil(e) aus unserer Datenbank.

Bundesgerichtshof Urteil, 26. Jan. 2016 - XI ZR 91/14

bei uns veröffentlicht am 26.01.2016

Tenor Auf die Revision der Beklagten wird der Beschluss des 5. Zivilsenats des Schleswig-Holsteinischen Oberlandesgerichts in Schleswig vom 22. Januar 2014 aufgehoben.

Referenzen

(1) Für den Verletzten kann ein Rechtsanwalt die Akten, die dem Gericht vorliegen oder diesem im Falle der Erhebung der öffentlichen Klage vorzulegen wären, einsehen sowie amtlich verwahrte Beweisstücke besichtigen, soweit er hierfür ein berechtigtes Interesse darlegt. In den in § 395 genannten Fällen bedarf es der Darlegung eines berechtigten Interesses nicht.

(2) Die Einsicht in die Akten ist zu versagen, soweit überwiegende schutzwürdige Interessen des Beschuldigten oder anderer Personen entgegenstehen. Sie kann versagt werden, soweit der Untersuchungszweck, auch in einem anderen Strafverfahren, gefährdet erscheint. Sie kann auch versagt werden, wenn durch sie das Verfahren erheblich verzögert würde, es sei denn, dass die Staatsanwaltschaft in den in § 395 genannten Fällen den Abschluss der Ermittlungen in den Akten vermerkt hat.

(3) Der Verletzte, der nicht durch einen Rechtsanwalt vertreten wird, ist in entsprechender Anwendung der Absätze 1 und 2 befugt, die Akten einzusehen und amtlich verwahrte Beweisstücke unter Aufsicht zu besichtigen. Werden die Akten nicht elektronisch geführt, können ihm an Stelle der Einsichtnahme in die Akten Kopien aus den Akten übermittelt werden. § 480 Absatz 1 Satz 3 und 4 gilt entsprechend.

(4) Die Absätze 1 bis 3 gelten auch für die in § 403 Satz 2 Genannten.

(5) Über die Gewährung der Akteneinsicht entscheidet im vorbereitenden Verfahren und nach rechtskräftigem Abschluß des Verfahrens die Staatsanwaltschaft, im übrigen der Vorsitzende des mit der Sache befaßten Gerichts. Gegen die Entscheidung der Staatsanwaltschaft nach Satz 1 kann gerichtliche Entscheidung durch das nach § 162 zuständige Gericht beantragt werden. Die §§ 297 bis 300, 302, 306 bis 309, 311a und 473a gelten entsprechend. Die Entscheidung des Gerichts ist unanfechtbar, solange die Ermittlungen noch nicht abgeschlossen sind. Diese Entscheidungen werden nicht mit Gründen versehen, soweit durch deren Offenlegung der Untersuchungszweck gefährdet werden könnte.

Im Fall eines nicht autorisierten Zahlungsvorgangs hat der Zahlungsdienstleister des Zahlers gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte. Diese Verpflichtung ist unverzüglich, spätestens jedoch bis zum Ende des Geschäftstags zu erfüllen, der auf den Tag folgt, an welchem dem Zahlungsdienstleister angezeigt wurde, dass der Zahlungsvorgang nicht autorisiert ist, oder er auf andere Weise davon Kenntnis erhalten hat. Hat der Zahlungsdienstleister einer zuständigen Behörde berechtigte Gründe für den Verdacht, dass ein betrügerisches Verhalten des Zahlers vorliegt, schriftlich mitgeteilt, hat der Zahlungsdienstleister seine Verpflichtung aus Satz 2 unverzüglich zu prüfen und zu erfüllen, wenn sich der Betrugsverdacht nicht bestätigt. Wurde der Zahlungsvorgang über einen Zahlungsauslösedienstleister ausgelöst, so treffen die Pflichten aus den Sätzen 2 bis 4 den kontoführenden Zahlungsdienstleister.

(1) Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, daß er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflußt, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.

(2) § 263 Abs. 2 bis 6 gilt entsprechend.

(3) Wer eine Straftat nach Absatz 1 vorbereitet, indem er

1.
Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, feilhält, verwahrt oder einem anderen überlässt oder
2.
Passwörter oder sonstige Sicherungscodes, die zur Begehung einer solchen Tat geeignet sind, herstellt, sich oder einem anderen verschafft, feilhält, verwahrt oder einem anderen überlässt,
wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(4) In den Fällen des Absatzes 3 gilt § 149 Abs. 2 und 3 entsprechend.

Im Fall eines nicht autorisierten Zahlungsvorgangs hat der Zahlungsdienstleister des Zahlers gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte. Diese Verpflichtung ist unverzüglich, spätestens jedoch bis zum Ende des Geschäftstags zu erfüllen, der auf den Tag folgt, an welchem dem Zahlungsdienstleister angezeigt wurde, dass der Zahlungsvorgang nicht autorisiert ist, oder er auf andere Weise davon Kenntnis erhalten hat. Hat der Zahlungsdienstleister einer zuständigen Behörde berechtigte Gründe für den Verdacht, dass ein betrügerisches Verhalten des Zahlers vorliegt, schriftlich mitgeteilt, hat der Zahlungsdienstleister seine Verpflichtung aus Satz 2 unverzüglich zu prüfen und zu erfüllen, wenn sich der Betrugsverdacht nicht bestätigt. Wurde der Zahlungsvorgang über einen Zahlungsauslösedienstleister ausgelöst, so treffen die Pflichten aus den Sätzen 2 bis 4 den kontoführenden Zahlungsdienstleister.

(1) Beruhen nicht autorisierte Zahlungsvorgänge auf der Nutzung eines verloren gegangenen, gestohlenen oder sonst abhandengekommenen Zahlungsinstruments oder auf der sonstigen missbräuchlichen Verwendung eines Zahlungsinstruments, so kann der Zahlungsdienstleister des Zahlers von diesem den Ersatz des hierdurch entstandenen Schadens bis zu einem Betrag von 50 Euro verlangen.

(2) Der Zahler haftet nicht nach Absatz 1, wenn

1.
es ihm nicht möglich gewesen ist, den Verlust, den Diebstahl, das Abhandenkommen oder eine sonstige missbräuchliche Verwendung des Zahlungsinstruments vor dem nicht autorisierten Zahlungsvorgang zu bemerken, oder
2.
der Verlust des Zahlungsinstruments durch einen Angestellten, einen Agenten, eine Zweigniederlassung eines Zahlungsdienstleisters oder eine sonstige Stelle, an die Tätigkeiten des Zahlungsdienstleisters ausgelagert wurden, verursacht worden ist.

(3) Abweichend von den Absätzen 1 und 2 ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler

1.
in betrügerischer Absicht gehandelt hat oder
2.
den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung
a)
einer oder mehrerer Pflichten gemäß § 675l Absatz 1 oder
b)
einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments.

(4) Abweichend von den Absätzen 1 und 3 ist der Zahler seinem Zahlungsdienstleister nicht zum Schadensersatz verpflichtet, wenn

1.
der Zahlungsdienstleister des Zahlers eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht verlangt oder
2.
der Zahlungsempfänger oder sein Zahlungsdienstleister eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht akzeptiert.
Satz 1 gilt nicht, wenn der Zahler in betrügerischer Absicht gehandelt hat. Im Fall von Satz 1 Nummer 2 ist derjenige, der eine starke Kundenauthentifizierung nicht akzeptiert, verpflichtet, dem Zahlungsdienstleister des Zahlers den daraus entstehenden Schaden zu ersetzen.

(5) Abweichend von den Absätzen 1 und 3 ist der Zahler nicht zum Ersatz von Schäden verpflichtet, die aus der Nutzung eines nach der Anzeige gemäß § 675l Absatz 1 Satz 2 verwendeten Zahlungsinstruments entstanden sind. Der Zahler ist auch nicht zum Ersatz von Schäden im Sinne des Absatzes 1 verpflichtet, wenn der Zahlungsdienstleister seiner Pflicht gemäß § 675m Abs. 1 Nr. 3 nicht nachgekommen ist. Die Sätze 1 und 2 sind nicht anzuwenden, wenn der Zahler in betrügerischer Absicht gehandelt hat.

Im Fall eines nicht autorisierten Zahlungsvorgangs hat der Zahlungsdienstleister des Zahlers gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte. Diese Verpflichtung ist unverzüglich, spätestens jedoch bis zum Ende des Geschäftstags zu erfüllen, der auf den Tag folgt, an welchem dem Zahlungsdienstleister angezeigt wurde, dass der Zahlungsvorgang nicht autorisiert ist, oder er auf andere Weise davon Kenntnis erhalten hat. Hat der Zahlungsdienstleister einer zuständigen Behörde berechtigte Gründe für den Verdacht, dass ein betrügerisches Verhalten des Zahlers vorliegt, schriftlich mitgeteilt, hat der Zahlungsdienstleister seine Verpflichtung aus Satz 2 unverzüglich zu prüfen und zu erfüllen, wenn sich der Betrugsverdacht nicht bestätigt. Wurde der Zahlungsvorgang über einen Zahlungsauslösedienstleister ausgelöst, so treffen die Pflichten aus den Sätzen 2 bis 4 den kontoführenden Zahlungsdienstleister.

(1) Beruhen nicht autorisierte Zahlungsvorgänge auf der Nutzung eines verloren gegangenen, gestohlenen oder sonst abhandengekommenen Zahlungsinstruments oder auf der sonstigen missbräuchlichen Verwendung eines Zahlungsinstruments, so kann der Zahlungsdienstleister des Zahlers von diesem den Ersatz des hierdurch entstandenen Schadens bis zu einem Betrag von 50 Euro verlangen.

(2) Der Zahler haftet nicht nach Absatz 1, wenn

1.
es ihm nicht möglich gewesen ist, den Verlust, den Diebstahl, das Abhandenkommen oder eine sonstige missbräuchliche Verwendung des Zahlungsinstruments vor dem nicht autorisierten Zahlungsvorgang zu bemerken, oder
2.
der Verlust des Zahlungsinstruments durch einen Angestellten, einen Agenten, eine Zweigniederlassung eines Zahlungsdienstleisters oder eine sonstige Stelle, an die Tätigkeiten des Zahlungsdienstleisters ausgelagert wurden, verursacht worden ist.

(3) Abweichend von den Absätzen 1 und 2 ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler

1.
in betrügerischer Absicht gehandelt hat oder
2.
den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung
a)
einer oder mehrerer Pflichten gemäß § 675l Absatz 1 oder
b)
einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments.

(4) Abweichend von den Absätzen 1 und 3 ist der Zahler seinem Zahlungsdienstleister nicht zum Schadensersatz verpflichtet, wenn

1.
der Zahlungsdienstleister des Zahlers eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht verlangt oder
2.
der Zahlungsempfänger oder sein Zahlungsdienstleister eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht akzeptiert.
Satz 1 gilt nicht, wenn der Zahler in betrügerischer Absicht gehandelt hat. Im Fall von Satz 1 Nummer 2 ist derjenige, der eine starke Kundenauthentifizierung nicht akzeptiert, verpflichtet, dem Zahlungsdienstleister des Zahlers den daraus entstehenden Schaden zu ersetzen.

(5) Abweichend von den Absätzen 1 und 3 ist der Zahler nicht zum Ersatz von Schäden verpflichtet, die aus der Nutzung eines nach der Anzeige gemäß § 675l Absatz 1 Satz 2 verwendeten Zahlungsinstruments entstanden sind. Der Zahler ist auch nicht zum Ersatz von Schäden im Sinne des Absatzes 1 verpflichtet, wenn der Zahlungsdienstleister seiner Pflicht gemäß § 675m Abs. 1 Nr. 3 nicht nachgekommen ist. Die Sätze 1 und 2 sind nicht anzuwenden, wenn der Zahler in betrügerischer Absicht gehandelt hat.

(1) Zahlungsdienstleister sind

1.
Unternehmen, die gewerbsmäßig oder in einem Umfang, der einen in kaufmännischer Weise eingerichteten Geschäftsbetrieb erfordert, Zahlungsdienste erbringen, ohne Zahlungsdienstleister im Sinne der Nummern 2 bis 5 zu sein (Zahlungsinstitute);
2.
E-Geld-Institute im Sinne des Absatzes 2 Satz 1 Nummer 1, die im Inland zum Geschäftsbetrieb nach diesem Gesetz zugelassen sind, sofern sie Zahlungsdienste erbringen;
3.
CRR-Kreditinstitute im Sinne des § 1 Absatz 3d Satz 1 des Kreditwesengesetzes, die im Inland zum Geschäftsbetrieb zugelassen sind, sowie die in Artikel 2 Absatz 5 Nummer 5 der Richtlinie 2013/36/EU des Europäischen Parlaments und des Rates vom 26. Juni 2013 über den Zugang zur Tätigkeit von Kreditinstituten und die Beaufsichtigung von Kreditinstituten und Wertpapierfirmen, zur Änderung der Richtlinie 2002/87/EG und zur Aufhebung der Richtlinien 2006/48/EG und 2006/49/EG (ABl. L 176 vom 27.6.2013, S. 338; L 208 vom 2.8.2013, S. 73; L 20 vom 25.1.2017, S. 1; L 203 vom 26.6.2020, S. 95), die zuletzt durch die Richtlinie (EU) 2019/2034 (ABl. L 314 vom 5.12.2019, S. 64) geändert worden ist, namentlich genannten Unternehmen, sofern sie Zahlungsdienste erbringen;
4.
die Europäische Zentralbank, die Deutsche Bundesbank sowie andere Zentralbanken in der Europäischen Union oder den anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum, soweit sie außerhalb ihrer Eigenschaft als Währungsbehörde oder andere Behörde Zahlungsdienste erbringen;
5.
der Bund, die Länder, die Gemeinden und Gemeindeverbände sowie die Träger bundes- oder landesmittelbarer Verwaltung, einschließlich der öffentlichen Schuldenverwaltung, der Sozialversicherungsträger und der Bundesagentur für Arbeit, soweit sie außerhalb ihres hoheitlichen Handelns Zahlungsdienste erbringen.
Zahlungsdienste sind
1.
die Dienste, mit denen Bareinzahlungen auf ein Zahlungskonto ermöglicht werden, sowie alle für die Führung eines Zahlungskontos erforderlichen Vorgänge (Einzahlungsgeschäft);
2.
die Dienste, mit denen Barauszahlungen von einem Zahlungskonto ermöglicht werden, sowie alle für die Führung eines Zahlungskontos erforderlichen Vorgänge (Auszahlungsgeschäft);
3.
die Ausführung von Zahlungsvorgängen einschließlich der Übermittlung von Geldbeträgen auf ein Zahlungskonto beim Zahlungsdienstleister des Nutzers oder bei einem anderen Zahlungsdienstleister durch
a)
die Ausführung von Lastschriften einschließlich einmaliger Lastschriften (Lastschriftgeschäft),
b)
die Ausführung von Zahlungsvorgängen mittels einer Zahlungskarte oder eines ähnlichen Zahlungsinstruments (Zahlungskartengeschäft),
c)
die Ausführung von Überweisungen einschließlich Daueraufträgen (Überweisungsgeschäft),
jeweils ohne Kreditgewährung (Zahlungsgeschäft);
4.
die Ausführung von Zahlungsvorgängen im Sinne der Nummer 3, die durch einen Kreditrahmen für einen Zahlungsdienstnutzer im Sinne des § 3 Absatz 4 gedeckt sind (Zahlungsgeschäft mit Kreditgewährung);
5.
die Ausgabe von Zahlungsinstrumenten oder die Annahme und Abrechnung von Zahlungsvorgängen (Akquisitionsgeschäft);
6.
die Dienste, bei denen ohne Einrichtung eines Zahlungskontos auf den Namen des Zahlers oder des Zahlungsempfängers ein Geldbetrag des Zahlers nur zur Übermittlung eines entsprechenden Betrags an einen Zahlungsempfänger oder an einen anderen, im Namen des Zahlungsempfängers handelnden Zahlungsdienstleister entgegengenommen wird oder bei dem der Geldbetrag im Namen des Zahlungsempfängers entgegengenommen und diesem verfügbar gemacht wird (Finanztransfergeschäft);
7.
Zahlungsauslösedienste;
8.
Kontoinformationsdienste.

(2) E-Geld-Emittenten sind

1.
Unternehmen, die das E-Geld-Geschäft betreiben, ohne E-Geld-Emittenten im Sinne der Nummern 2 bis 4 zu sein (E-Geld-Institute);
2.
CRR-Kreditinstitute im Sinne des § 1 Absatz 3d Satz 1 des Kreditwesengesetzes, die im Inland zum Geschäftsbetrieb zugelassen sind, sowie die in Artikel 2 Absatz 5 Nummer 5 der Richtlinie 2013/36/EU namentlich genannten Unternehmen, sofern sie das E-Geld-Geschäft betreiben;
3.
die Europäische Zentralbank, die Deutsche Bundesbank sowie andere Zentralbanken in der Europäischen Union oder den anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum, soweit sie außerhalb ihrer Eigenschaft als Währungsbehörde oder anderer Behörde das E-Geld-Geschäft betreiben;
4.
der Bund, die Länder, die Gemeinden und Gemeindeverbände sowie die Träger bundes- oder landesmittelbarer Verwaltung, einschließlich der öffentlichen Schuldenverwaltung, der Sozialversicherungsträger und der Bundesagentur für Arbeit, soweit sie außerhalb ihres hoheitlichen Handelns das E-Geld-Geschäft betreiben.
E-Geld-Geschäft ist die Ausgabe von E-Geld. E-Geld ist jeder elektronisch, darunter auch magnetisch, gespeicherte monetäre Wert in Form einer Forderung an den Emittenten, der gegen Zahlung eines Geldbetrags ausgestellt wird, um damit Zahlungsvorgänge im Sinne des § 675f Absatz 4 Satz 1 des Bürgerlichen Gesetzbuchs durchzuführen, und der auch von anderen natürlichen oder juristischen Personen als dem Emittenten angenommen wird. Kein E-Geld ist ein monetärer Wert,
1.
der auf Instrumenten im Sinne des § 2 Absatz 1 Nummer 10 gespeichert ist oder
2.
der nur für Zahlungsvorgänge nach § 2 Absatz 1 Nummer 11 eingesetzt wird.

(3) Institute im Sinne dieses Gesetzes sind Zahlungsinstitute und E-Geld-Institute.

(4) Herkunftsmitgliedstaat ist der Mitgliedstaat der Europäischen Union (Mitgliedstaat) oder anderer Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum, in dem sich der Sitz des Instituts befindet, oder, wenn das Institut nach dem für ihn geltenden nationalen Recht keinen Sitz hat, der Mitgliedstaat oder Vertragsstaat, in dem sich seine Hauptverwaltung befindet. Aufnahmemitgliedstaat ist jeder andere Mitgliedstaat oder Vertragsstaat, in dem das Institut einen Agenten oder eine Zweigniederlassung hat oder im Wege des grenzüberschreitenden Dienstleistungsverkehrs tätig ist.

(5) Zweigniederlassung ist eine Geschäftsstelle, die nicht die Hauptverwaltung ist und die einen Teil eines Instituts bildet, keine eigene Rechtspersönlichkeit hat und unmittelbar sämtliche oder einen Teil der Geschäfte betreibt, die mit der Tätigkeit eines Instituts verbunden sind. Alle Geschäftsstellen eines Instituts mit Hauptverwaltung in einem anderen Mitgliedstaat, die sich in einem Mitgliedstaat befinden, gelten als eine einzige Zweigniederlassung.

(6) Gruppe ist ein Verbund von Unternehmen, die untereinander durch eine in Artikel 22 Absatz 1, 2 oder 7 der Richtlinie 2013/34/EU des Europäischen Parlaments und des Rates vom 26. Juni 2013 über den Jahresabschluss, den konsolidierten Abschluss und damit verbundene Berichte von Unternehmen bestimmter Rechtsformen und zur Änderung der Richtlinie 2006/43/EG des Europäischen Parlaments und des Rates und zur Aufhebung der Richtlinien 78/660/EWG und 83/349/EWG des Rates (ABl. L 182 vom 29.6.2013, S. 19; L 369 vom 24.12.2014, S. 79), die zuletzt durch die Richtlinie 2014/102/EU geändert worden ist (ABl. L 334 vom 21.11.2014, S. 86), genannte Beziehung verbunden sind, oder Unternehmen im Sinne der Artikel 4, 5, 6 und 7 der Delegierten Verordnung (EU) Nr. 241/2014 der Kommission vom 7. Januar 2014 zur Ergänzung der Verordnung (EU) Nr. 575/2013 des Europäischen Parlaments und des Rates im Hinblick auf technische Regulierungsstandards für die Eigenmittelanforderungen an Institute (ABl. L 74 vom 14.3.2014, S. 8), die zuletzt durch die Delegierte Verordnung (EU) 2015/923 (ABl. L 150 vom 17.6.2015, S. 1) geändert worden ist, die untereinander durch eine in Artikel 10 Absatz 1 oder Artikel 113 Absatz 6 oder 7 der Verordnung (EU) Nr. 575/2013 des Europäischen Parlaments und des Rates vom 26. Juni 2013 über Aufsichtsanforderungen an Kreditinstitute und Wertpapierfirmen und zur Änderung der Verordnung (EU) Nr. 648/2012 (ABl. L 176 vom 27.6.2013, S. 1; L 208 vom 2.8.2013, S. 68; L 321 vom 30.11.2013, S. 6; L 193 vom 21.7.2015, S. 166), die zuletzt durch die Verordnung (EU) 2016/1014 (ABl. L 171 vom 29.6.2016, S. 153) geändert worden ist, genannte Beziehung verbunden sind.

(7) Eine bedeutende Beteiligung im Sinne dieses Gesetzes ist eine qualifizierte Beteiligung gemäß Artikel 4 Absatz 1 Nummer 36 der Verordnung (EU) Nr. 575/2013 in der jeweils geltenden Fassung. Für das Bestehen und die Berechnung einer bedeutenden Beteiligung gilt § 1 Absatz 9 Satz 2 und 3 des Kreditwesengesetzes entsprechend.

(8) Geschäftsleiter im Sinne dieses Gesetzes sind diejenigen natürlichen Personen, die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Führung der Geschäfte und zur Vertretung eines Instituts in der Rechtsform einer juristischen Person oder Personenhandelsgesellschaft berufen sind. In Ausnahmefällen kann die Bundesanstalt für Finanzdienstleistungsaufsicht (Bundesanstalt) auch eine andere mit der Führung der Geschäfte betraute und zur Vertretung ermächtigte Person widerruflich als Geschäftsleiter bestimmen, wenn sie zuverlässig ist und die erforderliche fachliche Eignung hat. Beruht die Bestimmung einer Person als Geschäftsleiter auf einem Antrag des Instituts, so ist sie auf Antrag des Instituts oder des Geschäftsleiters zu widerrufen.

(9) Agent im Sinne dieses Gesetzes ist jede natürliche oder juristische Person, die als selbständiger Gewerbetreibender im Namen eines Instituts Zahlungsdienste ausführt. Die Handlungen des Agenten werden dem Institut zugerechnet.

(10) E-Geld-Agent im Sinne dieses Gesetzes ist jede natürliche oder juristische Person, die als selbständiger Gewerbetreibender im Namen eines E-Geld-Instituts beim Vertrieb und Rücktausch von E-Geld tätig ist.

(10a) Auslagerungsunternehmen im Sinne dieses Gesetzes sind Unternehmen, auf die ein Institut Aktivitäten und Prozesse zur Durchführung von Zahlungsdiensten, des E-Geld-Geschäfts sowie von sonstigen institutstypischen Dienstleistungen ausgelagert hat, sowie deren Subunternehmen bei Weiterverlagerungen von Aktivitäten und Prozessen, die für die Durchführung von Zahlungsdiensten, des E-Geld-Geschäfts sowie von sonstigen institutstypischen Dienstleistungen wesentlich sind.

(11) Zahlungssystem ist ein System zur Übertragung von Geldbeträgen auf der Grundlage von formalen und standardisierten Regeln und einheitlichen Vorschriften für die Verarbeitung, das Clearing oder die Verrechnung von Zahlungsvorgängen.

(12) Elektronische Kommunikationsnetze sind Übertragungssysteme und Vermittlungs- und Leitwegeinrichtungen sowie anderweitige Ressourcen einschließlich der nicht aktiven Netzbestandteile, die die Übertragung von Signalen über Kabel, Funk, optische oder andere elektromagnetische Einrichtungen ermöglichen, einschließlich Satellitennetze, feste (leitungs- und paketvermittelte, einschließlich Internet) und mobile terrestrische Netze, Stromleitungssysteme, soweit sie zur Signalübertragung genutzt werden, Netze für Hör- und Fernsehfunk sowie Kabelfernsehnetze, unabhängig von der Art der übertragenen Informationen.

(13) Elektronische Kommunikationsdienste sind Dienste, die gewöhnlich gegen Entgelt erbracht werden und die ganz oder überwiegend in der Übertragung von Signalen über elektronische Kommunikationsnetze bestehen, einschließlich von Telekommunikations- und Übertragungsdiensten in Rundfunknetzen, jedoch ausgenommen von Diensten, die Inhalte über elektronische Kommunikationsnetze und -dienste anbieten oder eine redaktionelle Kontrolle über sie ausüben. Keine elektronischen Kommunikationsdienste in diesem Sinne sind Dienste der Informationsgesellschaft im Sinne des Artikels 1 der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 241 vom 17.9.2015, S. 1), die nicht ganz oder überwiegend in der Übertragung von Signalen über elektronische Kommunikationsnetze bestehen.

(14) Durchschnittlicher E-Geld-Umlauf ist der durchschnittliche Gesamtbetrag der am Ende jedes Kalendertages über die vergangenen sechs Kalendermonate bestehenden, aus der Ausgabe von E-Geld erwachsenden finanziellen Verbindlichkeiten, der am ersten Kalendertag jedes Kalendermonats berechnet wird und für diesen Kalendermonat gilt.

(15) Zahler ist eine natürliche oder juristische Person, die Inhaber eines Zahlungskontos ist und die Ausführung eines Zahlungsauftrags von diesem Zahlungskonto gestattet oder, falls kein Zahlungskonto vorhanden ist, eine natürliche oder juristische Person, die den Zahlungsauftrag erteilt.

(16) Zahlungsempfänger ist die natürliche oder juristische Person, die den Geldbetrag, der Gegenstand eines Zahlungsvorgangs ist, als Empfänger erhalten soll.

(17) Zahlungskonto ist ein auf den Namen eines oder mehrerer Zahlungsdienstnutzer lautendes Konto, das für die Ausführung von Zahlungsvorgängen genutzt wird.

(18) Kontoführender Zahlungsdienstleister ist ein Zahlungsdienstleister, der für einen Zahler ein Zahlungskonto bereitstellt und führt.

(19) Fernzahlungsvorgang im Sinne dieses Gesetzes ist ein Zahlungsvorgang, der über das Internet oder mittels eines Geräts, das für die Fernkommunikation verwendet werden kann, ausgelöst wird.

(20) Zahlungsinstrument ist jedes personalisierte Instrument oder Verfahren, dessen Verwendung zwischen dem Zahlungsdienstnutzer und dem Zahlungsdienstleister vereinbart wurde und das zur Erteilung eines Zahlungsauftrags verwendet wird.

(21) Lastschrift ist ein Zahlungsvorgang zur Belastung des Zahlungskontos des Zahlers, bei dem der Zahlungsvorgang vom Zahlungsempfänger aufgrund der Zustimmung des Zahlers gegenüber dem Zahlungsempfänger, dessen Zahlungsdienstleister oder seinem eigenen Zahlungsdienstleister ausgelöst wird.

(22) Überweisung ist ein auf Veranlassung des Zahlers ausgelöster Zahlungsvorgang zur Erteilung einer Gutschrift auf dem Zahlungskonto des Zahlungsempfängers zulasten des Zahlungskontos des Zahlers in Ausführung eines oder mehrerer Zahlungsvorgänge durch den Zahlungsdienstleister, der das Zahlungskonto des Zahlers führt.

(23) Authentifizierung ist ein Verfahren, mit dessen Hilfe der Zahlungsdienstleister die Identität eines Zahlungsdienstnutzers oder die berechtigte Verwendung eines bestimmten Zahlungsinstruments, einschließlich der Verwendung der personalisierten Sicherheitsmerkmale des Nutzers, überprüfen kann.

(24) Starke Kundenauthentifizierung ist eine Authentifizierung, die so ausgestaltet ist, dass die Vertraulichkeit der Authentifizierungsdaten geschützt ist und die unter Heranziehung von mindestens zwei der folgenden, in dem Sinne voneinander unabhängigen Elementen geschieht, dass die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt:

1.
Kategorie Wissen, also etwas, das nur der Nutzer weiß,
2.
Kategorie Besitz, also etwas, das nur der Nutzer besitzt oder
3.
Kategorie Inhärenz, also etwas, das der Nutzer ist.

(25) Personalisierte Sicherheitsmerkmale sind personalisierte Merkmale, die der Zahlungsdienstleister einem Zahlungsdienstnutzer zum Zwecke der Authentifizierung bereitstellt.

(26) Sensible Zahlungsdaten sind Daten, einschließlich personalisierter Sicherheitsmerkmale, die für betrügerische Handlungen verwendet werden können. Für die Tätigkeiten von Zahlungsauslösedienstleistern und Kontoinformationsdienstleistern stellen der Name des Kontoinhabers und die Kontonummer keine sensiblen Zahlungsdaten dar.

(27) Digitale Inhalte sind Waren oder Dienstleistungen, die in digitaler Form hergestellt und bereitgestellt werden, deren Nutzung oder Verbrauch auf ein technisches Gerät beschränkt ist und die in keiner Weise die Nutzung oder den Verbrauch von Waren oder Dienstleistungen in physischer Form einschließen.

(28) Zahlungsmarke ist jeder reale oder digitale Name, jeder reale oder digitale Begriff, jedes reale oder digitale Zeichen, jedes reale oder digitale Symbol oder jede Kombination davon, mittels dessen oder derer bezeichnet werden kann, unter welchem Zahlungskartensystem kartengebundene Zahlungsvorgänge ausgeführt werden.

(29) Eigenmittel sind Mittel im Sinne des Artikels 4 Absatz 1 Nummer 118 der Verordnung (EU) Nr. 575/2013 des Europäischen Parlaments und des Rates vom 26. Juni 2013 über Aufsichtsanforderungen an Kreditinstitute und Wertpapierfirmen und zur Änderung der Verordnung (EU) Nr. 648/2012 (ABl. L 176 vom 27.6.2013, S. 1; L 208 vom 2.8.2013, S. 68; ABl. L 321 vom 30.11.2013, S. 6; L 193 vom 21.7.2015, S. 166), die zuletzt durch die Verordnung (EU) 2016/1014 (ABl. L 171 vom 29.6.2016, S. 153) geändert worden ist, wobei mindestens 75 Prozent des Kernkapitals in Form von hartem Kernkapital nach Artikel 50 der genannten Verordnung gehalten werden müssen und das Ergänzungskapital höchstens ein Drittel des harten Kernkapitals betragen muss.

(30) Anfangskapital im Sinne dieses Gesetzes ist das aus Bestandteilen gemäß Artikel 26 Absatz 1 Satz 1 Buchstabe a bis e der Verordnung (EU) Nr. 575/2013 bestehende harte Kernkapital.

(31) Sichere Aktiva mit niedrigem Risiko im Sinne dieses Gesetzes sind Aktiva, die unter eine der Kategorien nach Artikel 336 Absatz 1 der Verordnung (EU) Nr. 575/2013 fallen, für die die Eigenmittelanforderung für das spezifische Risiko nicht höher als 1,6 Prozent ist, wobei jedoch andere qualifizierte Positionen gemäß Artikel 336 Absatz 4 der Verordnung (EU) Nr. 575/2013 ausgeschlossen sind. Sichere Aktiva mit niedrigem Risiko im Sinne dieses Gesetzes sind auch Anteile an einem Organismus für gemeinsame Anlagen in Wertpapieren, der ausschließlich in die in Satz 1 genannten Aktiva investiert.

(32) Bargeldabhebungsdienst ist die Ausgabe von Bargeld über Geldausgabeautomaten für einen oder mehrere Kartenemittenten, ohne einen eigenen Rahmenvertrag mit dem Geld abhebenden Kunden geschlossen zu haben.

(33) Zahlungsauslösungsdienst ist ein Dienst, bei dem auf Veranlassung des Zahlungsdienstnutzers ein Zahlungsauftrag in Bezug auf ein bei einem anderen Zahlungsdienstleister geführtes Zahlungskonto ausgelöst wird.

(34) Kontoinformationsdienst ist ein Online-Dienst zur Mitteilung konsolidierter Informationen über ein Zahlungskonto oder mehrere Zahlungskonten des Zahlungsdienstnutzers bei einem oder mehreren anderen Zahlungsdienstleistern.

(35) Annahme und Abrechnung von Zahlungsvorgängen (Akquisitionsgeschäft) beinhaltet einen Zahlungsdienst, der die Übertragung von Geldbeträgen zum Zahlungsempfänger bewirkt und bei dem der Zahlungsdienstleister mit dem Zahlungsempfänger eine vertragliche Vereinbarung über die Annahme und die Verarbeitung von Zahlungsvorgängen schließt. Die Ausgabe von Zahlungsinstrumenten beinhaltet alle Dienste, bei denen ein Zahlungsdienstleister eine vertragliche Vereinbarung mit dem Zahler schließt, um einem Zahler ein Zahlungsinstrument zur Auslösung und Verarbeitung der Zahlungsvorgänge des Zahlers zur Verfügung zu stellen.

(1) Der Erwerb des Eigentums auf Grund der §§ 932 bis 934 tritt nicht ein, wenn die Sache dem Eigentümer gestohlen worden, verloren gegangen oder sonst abhanden gekommen war. Das Gleiche gilt, falls der Eigentümer nur mittelbarer Besitzer war, dann, wenn die Sache dem Besitzer abhanden gekommen war.

(2) Diese Vorschriften finden keine Anwendung auf Geld oder Inhaberpapiere sowie auf Sachen, die im Wege öffentlicher Versteigerung oder in einer Versteigerung nach § 979 Absatz 1a veräußert werden.

(1) Beruhen nicht autorisierte Zahlungsvorgänge auf der Nutzung eines verloren gegangenen, gestohlenen oder sonst abhandengekommenen Zahlungsinstruments oder auf der sonstigen missbräuchlichen Verwendung eines Zahlungsinstruments, so kann der Zahlungsdienstleister des Zahlers von diesem den Ersatz des hierdurch entstandenen Schadens bis zu einem Betrag von 50 Euro verlangen.

(2) Der Zahler haftet nicht nach Absatz 1, wenn

1.
es ihm nicht möglich gewesen ist, den Verlust, den Diebstahl, das Abhandenkommen oder eine sonstige missbräuchliche Verwendung des Zahlungsinstruments vor dem nicht autorisierten Zahlungsvorgang zu bemerken, oder
2.
der Verlust des Zahlungsinstruments durch einen Angestellten, einen Agenten, eine Zweigniederlassung eines Zahlungsdienstleisters oder eine sonstige Stelle, an die Tätigkeiten des Zahlungsdienstleisters ausgelagert wurden, verursacht worden ist.

(3) Abweichend von den Absätzen 1 und 2 ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler

1.
in betrügerischer Absicht gehandelt hat oder
2.
den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung
a)
einer oder mehrerer Pflichten gemäß § 675l Absatz 1 oder
b)
einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments.

(4) Abweichend von den Absätzen 1 und 3 ist der Zahler seinem Zahlungsdienstleister nicht zum Schadensersatz verpflichtet, wenn

1.
der Zahlungsdienstleister des Zahlers eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht verlangt oder
2.
der Zahlungsempfänger oder sein Zahlungsdienstleister eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht akzeptiert.
Satz 1 gilt nicht, wenn der Zahler in betrügerischer Absicht gehandelt hat. Im Fall von Satz 1 Nummer 2 ist derjenige, der eine starke Kundenauthentifizierung nicht akzeptiert, verpflichtet, dem Zahlungsdienstleister des Zahlers den daraus entstehenden Schaden zu ersetzen.

(5) Abweichend von den Absätzen 1 und 3 ist der Zahler nicht zum Ersatz von Schäden verpflichtet, die aus der Nutzung eines nach der Anzeige gemäß § 675l Absatz 1 Satz 2 verwendeten Zahlungsinstruments entstanden sind. Der Zahler ist auch nicht zum Ersatz von Schäden im Sinne des Absatzes 1 verpflichtet, wenn der Zahlungsdienstleister seiner Pflicht gemäß § 675m Abs. 1 Nr. 3 nicht nachgekommen ist. Die Sätze 1 und 2 sind nicht anzuwenden, wenn der Zahler in betrügerischer Absicht gehandelt hat.

(1) Auf einen Geschäftsbesorgungsvertrag, der die Erbringung von Zahlungsdiensten zum Gegenstand hat, sind die §§ 663, 665 bis 670 und 672 bis 674 entsprechend anzuwenden, soweit in diesem Untertitel nichts Abweichendes bestimmt ist.

(2) Die Vorschriften dieses Untertitels sind auch auf einen Vertrag über die Ausgabe und Nutzung von E-Geld anzuwenden.

(3) Die Begriffsbestimmungen des Kreditwesengesetzes und des Zahlungsdiensteaufsichtsgesetzes sind anzuwenden.

(4) Die Vorschriften dieses Untertitels sind mit Ausnahme von § 675d Absatz 2 Satz 2 sowie Absatz 3 nicht auf einen Vertrag über die Erbringung von Kontoinformationsdiensten anzuwenden.

Der Schuldner hat ein Verschulden seines gesetzlichen Vertreters und der Personen, deren er sich zur Erfüllung seiner Verbindlichkeit bedient, in gleichem Umfang zu vertreten wie eigenes Verschulden. Die Vorschrift des § 276 Abs. 3 findet keine Anwendung.

(1) Der Zahlungsdienstleister, der ein Zahlungsinstrument ausgibt, ist verpflichtet,

1.
unbeschadet der Pflichten des Zahlungsdienstnutzers gemäß § 675l Absatz 1 sicherzustellen, dass die personalisierten Sicherheitsmerkmale des Zahlungsinstruments nur der zur Nutzung berechtigten Person zugänglich sind,
2.
die unaufgeforderte Zusendung von Zahlungsinstrumenten an den Zahlungsdienstnutzer zu unterlassen, es sei denn, ein bereits an den Zahlungsdienstnutzer ausgegebenes Zahlungsinstrument muss ersetzt werden,
3.
sicherzustellen, dass der Zahlungsdienstnutzer durch geeignete Mittel jederzeit die Möglichkeit hat, eine Anzeige gemäß § 675l Absatz 1 Satz 2 vorzunehmen oder die Aufhebung der Sperrung gemäß § 675k Absatz 2 Satz 5 zu verlangen,
4.
dem Zahlungsdienstnutzer eine Anzeige gemäß § 675l Absatz 1 Satz 2 kostenfrei zu ermöglichen und
5.
jede Nutzung des Zahlungsinstruments zu verhindern, sobald eine Anzeige gemäß § 675l Absatz 1 Satz 2 erfolgt ist.
Hat der Zahlungsdienstnutzer den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die sonstige nicht autorisierte Nutzung eines Zahlungsinstruments angezeigt, stellt sein Zahlungsdienstleister ihm auf Anfrage bis mindestens 18 Monate nach dieser Anzeige die Mittel zur Verfügung, mit denen der Zahlungsdienstnutzer beweisen kann, dass eine Anzeige erfolgt ist.

(2) Die Gefahr der Versendung eines Zahlungsinstruments und der Versendung personalisierter Sicherheitsmerkmale des Zahlungsinstruments an den Zahlungsdienstnutzer trägt der Zahlungsdienstleister.

(3) Hat ein Zahlungsdienstleister, der kartengebundene Zahlungsinstrumente ausgibt, den kontoführenden Zahlungsdienstleister des Zahlers um Bestätigung ersucht, dass ein für die Ausführung eines kartengebundenen Zahlungsvorgangs erforderlicher Betrag auf dem Zahlungskonto verfügbar ist, so kann der Zahler von seinem kontoführenden Zahlungsdienstleister verlangen, ihm die Identifizierungsdaten dieses Zahlungsdienstleisters und die erteilte Antwort mitzuteilen.

(1) Beruhen nicht autorisierte Zahlungsvorgänge auf der Nutzung eines verloren gegangenen, gestohlenen oder sonst abhandengekommenen Zahlungsinstruments oder auf der sonstigen missbräuchlichen Verwendung eines Zahlungsinstruments, so kann der Zahlungsdienstleister des Zahlers von diesem den Ersatz des hierdurch entstandenen Schadens bis zu einem Betrag von 50 Euro verlangen.

(2) Der Zahler haftet nicht nach Absatz 1, wenn

1.
es ihm nicht möglich gewesen ist, den Verlust, den Diebstahl, das Abhandenkommen oder eine sonstige missbräuchliche Verwendung des Zahlungsinstruments vor dem nicht autorisierten Zahlungsvorgang zu bemerken, oder
2.
der Verlust des Zahlungsinstruments durch einen Angestellten, einen Agenten, eine Zweigniederlassung eines Zahlungsdienstleisters oder eine sonstige Stelle, an die Tätigkeiten des Zahlungsdienstleisters ausgelagert wurden, verursacht worden ist.

(3) Abweichend von den Absätzen 1 und 2 ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler

1.
in betrügerischer Absicht gehandelt hat oder
2.
den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung
a)
einer oder mehrerer Pflichten gemäß § 675l Absatz 1 oder
b)
einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments.

(4) Abweichend von den Absätzen 1 und 3 ist der Zahler seinem Zahlungsdienstleister nicht zum Schadensersatz verpflichtet, wenn

1.
der Zahlungsdienstleister des Zahlers eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht verlangt oder
2.
der Zahlungsempfänger oder sein Zahlungsdienstleister eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht akzeptiert.
Satz 1 gilt nicht, wenn der Zahler in betrügerischer Absicht gehandelt hat. Im Fall von Satz 1 Nummer 2 ist derjenige, der eine starke Kundenauthentifizierung nicht akzeptiert, verpflichtet, dem Zahlungsdienstleister des Zahlers den daraus entstehenden Schaden zu ersetzen.

(5) Abweichend von den Absätzen 1 und 3 ist der Zahler nicht zum Ersatz von Schäden verpflichtet, die aus der Nutzung eines nach der Anzeige gemäß § 675l Absatz 1 Satz 2 verwendeten Zahlungsinstruments entstanden sind. Der Zahler ist auch nicht zum Ersatz von Schäden im Sinne des Absatzes 1 verpflichtet, wenn der Zahlungsdienstleister seiner Pflicht gemäß § 675m Abs. 1 Nr. 3 nicht nachgekommen ist. Die Sätze 1 und 2 sind nicht anzuwenden, wenn der Zahler in betrügerischer Absicht gehandelt hat.

(1) Ein Zahlungsvorgang ist gegenüber dem Zahler nur wirksam, wenn er diesem zugestimmt hat (Autorisierung). Die Zustimmung kann entweder als Einwilligung oder, sofern zwischen dem Zahler und seinem Zahlungsdienstleister zuvor vereinbart, als Genehmigung erteilt werden. Art und Weise der Zustimmung sind zwischen dem Zahler und seinem Zahlungsdienstleister zu vereinbaren. Insbesondere kann vereinbart werden, dass die Zustimmung mittels eines bestimmten Zahlungsinstruments erteilt werden kann.

(2) Die Zustimmung kann vom Zahler durch Erklärung gegenüber dem Zahlungsdienstleister so lange widerrufen werden, wie der Zahlungsauftrag widerruflich ist (§ 675p). Auch die Zustimmung zur Ausführung mehrerer Zahlungsvorgänge kann mit der Folge widerrufen werden, dass jeder nachfolgende Zahlungsvorgang nicht mehr autorisiert ist.

(1) Der Zahlungsdienstnutzer ist verpflichtet, unmittelbar nach Erhalt eines Zahlungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Er hat dem Zahlungsdienstleister oder einer von diesem benannten Stelle den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die sonstige nicht autorisierte Nutzung eines Zahlungsinstruments unverzüglich anzuzeigen, nachdem er hiervon Kenntnis erlangt hat. Für den Ersatz eines verlorenen, gestohlenen, missbräuchlich verwendeten oder sonst nicht autorisiert genutzten Zahlungsinstruments darf der Zahlungsdienstleister mit dem Zahlungsdienstnutzer ein Entgelt vereinbaren, das allenfalls die ausschließlich und unmittelbar mit dem Ersatz verbundenen Kosten abdeckt.

(2) Eine Vereinbarung, durch die sich der Zahlungsdienstnutzer gegenüber dem Zahlungsdienstleister verpflichtet, Bedingungen für die Ausgabe und Nutzung eines Zahlungsinstruments einzuhalten, ist nur insoweit wirksam, als diese Bedingungen sachlich, verhältnismäßig und nicht benachteiligend sind.

(1) Beruhen nicht autorisierte Zahlungsvorgänge auf der Nutzung eines verloren gegangenen, gestohlenen oder sonst abhandengekommenen Zahlungsinstruments oder auf der sonstigen missbräuchlichen Verwendung eines Zahlungsinstruments, so kann der Zahlungsdienstleister des Zahlers von diesem den Ersatz des hierdurch entstandenen Schadens bis zu einem Betrag von 50 Euro verlangen.

(2) Der Zahler haftet nicht nach Absatz 1, wenn

1.
es ihm nicht möglich gewesen ist, den Verlust, den Diebstahl, das Abhandenkommen oder eine sonstige missbräuchliche Verwendung des Zahlungsinstruments vor dem nicht autorisierten Zahlungsvorgang zu bemerken, oder
2.
der Verlust des Zahlungsinstruments durch einen Angestellten, einen Agenten, eine Zweigniederlassung eines Zahlungsdienstleisters oder eine sonstige Stelle, an die Tätigkeiten des Zahlungsdienstleisters ausgelagert wurden, verursacht worden ist.

(3) Abweichend von den Absätzen 1 und 2 ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler

1.
in betrügerischer Absicht gehandelt hat oder
2.
den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung
a)
einer oder mehrerer Pflichten gemäß § 675l Absatz 1 oder
b)
einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments.

(4) Abweichend von den Absätzen 1 und 3 ist der Zahler seinem Zahlungsdienstleister nicht zum Schadensersatz verpflichtet, wenn

1.
der Zahlungsdienstleister des Zahlers eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht verlangt oder
2.
der Zahlungsempfänger oder sein Zahlungsdienstleister eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht akzeptiert.
Satz 1 gilt nicht, wenn der Zahler in betrügerischer Absicht gehandelt hat. Im Fall von Satz 1 Nummer 2 ist derjenige, der eine starke Kundenauthentifizierung nicht akzeptiert, verpflichtet, dem Zahlungsdienstleister des Zahlers den daraus entstehenden Schaden zu ersetzen.

(5) Abweichend von den Absätzen 1 und 3 ist der Zahler nicht zum Ersatz von Schäden verpflichtet, die aus der Nutzung eines nach der Anzeige gemäß § 675l Absatz 1 Satz 2 verwendeten Zahlungsinstruments entstanden sind. Der Zahler ist auch nicht zum Ersatz von Schäden im Sinne des Absatzes 1 verpflichtet, wenn der Zahlungsdienstleister seiner Pflicht gemäß § 675m Abs. 1 Nr. 3 nicht nachgekommen ist. Die Sätze 1 und 2 sind nicht anzuwenden, wenn der Zahler in betrügerischer Absicht gehandelt hat.

(1) Der Zahlungsdienstnutzer ist verpflichtet, unmittelbar nach Erhalt eines Zahlungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Er hat dem Zahlungsdienstleister oder einer von diesem benannten Stelle den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die sonstige nicht autorisierte Nutzung eines Zahlungsinstruments unverzüglich anzuzeigen, nachdem er hiervon Kenntnis erlangt hat. Für den Ersatz eines verlorenen, gestohlenen, missbräuchlich verwendeten oder sonst nicht autorisiert genutzten Zahlungsinstruments darf der Zahlungsdienstleister mit dem Zahlungsdienstnutzer ein Entgelt vereinbaren, das allenfalls die ausschließlich und unmittelbar mit dem Ersatz verbundenen Kosten abdeckt.

(2) Eine Vereinbarung, durch die sich der Zahlungsdienstnutzer gegenüber dem Zahlungsdienstleister verpflichtet, Bedingungen für die Ausgabe und Nutzung eines Zahlungsinstruments einzuhalten, ist nur insoweit wirksam, als diese Bedingungen sachlich, verhältnismäßig und nicht benachteiligend sind.

(1) Beruhen nicht autorisierte Zahlungsvorgänge auf der Nutzung eines verloren gegangenen, gestohlenen oder sonst abhandengekommenen Zahlungsinstruments oder auf der sonstigen missbräuchlichen Verwendung eines Zahlungsinstruments, so kann der Zahlungsdienstleister des Zahlers von diesem den Ersatz des hierdurch entstandenen Schadens bis zu einem Betrag von 50 Euro verlangen.

(2) Der Zahler haftet nicht nach Absatz 1, wenn

1.
es ihm nicht möglich gewesen ist, den Verlust, den Diebstahl, das Abhandenkommen oder eine sonstige missbräuchliche Verwendung des Zahlungsinstruments vor dem nicht autorisierten Zahlungsvorgang zu bemerken, oder
2.
der Verlust des Zahlungsinstruments durch einen Angestellten, einen Agenten, eine Zweigniederlassung eines Zahlungsdienstleisters oder eine sonstige Stelle, an die Tätigkeiten des Zahlungsdienstleisters ausgelagert wurden, verursacht worden ist.

(3) Abweichend von den Absätzen 1 und 2 ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler

1.
in betrügerischer Absicht gehandelt hat oder
2.
den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung
a)
einer oder mehrerer Pflichten gemäß § 675l Absatz 1 oder
b)
einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments.

(4) Abweichend von den Absätzen 1 und 3 ist der Zahler seinem Zahlungsdienstleister nicht zum Schadensersatz verpflichtet, wenn

1.
der Zahlungsdienstleister des Zahlers eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht verlangt oder
2.
der Zahlungsempfänger oder sein Zahlungsdienstleister eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht akzeptiert.
Satz 1 gilt nicht, wenn der Zahler in betrügerischer Absicht gehandelt hat. Im Fall von Satz 1 Nummer 2 ist derjenige, der eine starke Kundenauthentifizierung nicht akzeptiert, verpflichtet, dem Zahlungsdienstleister des Zahlers den daraus entstehenden Schaden zu ersetzen.

(5) Abweichend von den Absätzen 1 und 3 ist der Zahler nicht zum Ersatz von Schäden verpflichtet, die aus der Nutzung eines nach der Anzeige gemäß § 675l Absatz 1 Satz 2 verwendeten Zahlungsinstruments entstanden sind. Der Zahler ist auch nicht zum Ersatz von Schäden im Sinne des Absatzes 1 verpflichtet, wenn der Zahlungsdienstleister seiner Pflicht gemäß § 675m Abs. 1 Nr. 3 nicht nachgekommen ist. Die Sätze 1 und 2 sind nicht anzuwenden, wenn der Zahler in betrügerischer Absicht gehandelt hat.

Der Schuldner hat ein Verschulden seines gesetzlichen Vertreters und der Personen, deren er sich zur Erfüllung seiner Verbindlichkeit bedient, in gleichem Umfang zu vertreten wie eigenes Verschulden. Die Vorschrift des § 276 Abs. 3 findet keine Anwendung.

(1) Der Zahlungsdienstleister, der ein Zahlungsinstrument ausgibt, ist verpflichtet,

1.
unbeschadet der Pflichten des Zahlungsdienstnutzers gemäß § 675l Absatz 1 sicherzustellen, dass die personalisierten Sicherheitsmerkmale des Zahlungsinstruments nur der zur Nutzung berechtigten Person zugänglich sind,
2.
die unaufgeforderte Zusendung von Zahlungsinstrumenten an den Zahlungsdienstnutzer zu unterlassen, es sei denn, ein bereits an den Zahlungsdienstnutzer ausgegebenes Zahlungsinstrument muss ersetzt werden,
3.
sicherzustellen, dass der Zahlungsdienstnutzer durch geeignete Mittel jederzeit die Möglichkeit hat, eine Anzeige gemäß § 675l Absatz 1 Satz 2 vorzunehmen oder die Aufhebung der Sperrung gemäß § 675k Absatz 2 Satz 5 zu verlangen,
4.
dem Zahlungsdienstnutzer eine Anzeige gemäß § 675l Absatz 1 Satz 2 kostenfrei zu ermöglichen und
5.
jede Nutzung des Zahlungsinstruments zu verhindern, sobald eine Anzeige gemäß § 675l Absatz 1 Satz 2 erfolgt ist.
Hat der Zahlungsdienstnutzer den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die sonstige nicht autorisierte Nutzung eines Zahlungsinstruments angezeigt, stellt sein Zahlungsdienstleister ihm auf Anfrage bis mindestens 18 Monate nach dieser Anzeige die Mittel zur Verfügung, mit denen der Zahlungsdienstnutzer beweisen kann, dass eine Anzeige erfolgt ist.

(2) Die Gefahr der Versendung eines Zahlungsinstruments und der Versendung personalisierter Sicherheitsmerkmale des Zahlungsinstruments an den Zahlungsdienstnutzer trägt der Zahlungsdienstleister.

(3) Hat ein Zahlungsdienstleister, der kartengebundene Zahlungsinstrumente ausgibt, den kontoführenden Zahlungsdienstleister des Zahlers um Bestätigung ersucht, dass ein für die Ausführung eines kartengebundenen Zahlungsvorgangs erforderlicher Betrag auf dem Zahlungskonto verfügbar ist, so kann der Zahler von seinem kontoführenden Zahlungsdienstleister verlangen, ihm die Identifizierungsdaten dieses Zahlungsdienstleisters und die erteilte Antwort mitzuteilen.

(1) Beruhen nicht autorisierte Zahlungsvorgänge auf der Nutzung eines verloren gegangenen, gestohlenen oder sonst abhandengekommenen Zahlungsinstruments oder auf der sonstigen missbräuchlichen Verwendung eines Zahlungsinstruments, so kann der Zahlungsdienstleister des Zahlers von diesem den Ersatz des hierdurch entstandenen Schadens bis zu einem Betrag von 50 Euro verlangen.

(2) Der Zahler haftet nicht nach Absatz 1, wenn

1.
es ihm nicht möglich gewesen ist, den Verlust, den Diebstahl, das Abhandenkommen oder eine sonstige missbräuchliche Verwendung des Zahlungsinstruments vor dem nicht autorisierten Zahlungsvorgang zu bemerken, oder
2.
der Verlust des Zahlungsinstruments durch einen Angestellten, einen Agenten, eine Zweigniederlassung eines Zahlungsdienstleisters oder eine sonstige Stelle, an die Tätigkeiten des Zahlungsdienstleisters ausgelagert wurden, verursacht worden ist.

(3) Abweichend von den Absätzen 1 und 2 ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler

1.
in betrügerischer Absicht gehandelt hat oder
2.
den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung
a)
einer oder mehrerer Pflichten gemäß § 675l Absatz 1 oder
b)
einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments.

(4) Abweichend von den Absätzen 1 und 3 ist der Zahler seinem Zahlungsdienstleister nicht zum Schadensersatz verpflichtet, wenn

1.
der Zahlungsdienstleister des Zahlers eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht verlangt oder
2.
der Zahlungsempfänger oder sein Zahlungsdienstleister eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht akzeptiert.
Satz 1 gilt nicht, wenn der Zahler in betrügerischer Absicht gehandelt hat. Im Fall von Satz 1 Nummer 2 ist derjenige, der eine starke Kundenauthentifizierung nicht akzeptiert, verpflichtet, dem Zahlungsdienstleister des Zahlers den daraus entstehenden Schaden zu ersetzen.

(5) Abweichend von den Absätzen 1 und 3 ist der Zahler nicht zum Ersatz von Schäden verpflichtet, die aus der Nutzung eines nach der Anzeige gemäß § 675l Absatz 1 Satz 2 verwendeten Zahlungsinstruments entstanden sind. Der Zahler ist auch nicht zum Ersatz von Schäden im Sinne des Absatzes 1 verpflichtet, wenn der Zahlungsdienstleister seiner Pflicht gemäß § 675m Abs. 1 Nr. 3 nicht nachgekommen ist. Die Sätze 1 und 2 sind nicht anzuwenden, wenn der Zahler in betrügerischer Absicht gehandelt hat.

(1) Der Zahlungsdienstnutzer ist verpflichtet, unmittelbar nach Erhalt eines Zahlungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Er hat dem Zahlungsdienstleister oder einer von diesem benannten Stelle den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die sonstige nicht autorisierte Nutzung eines Zahlungsinstruments unverzüglich anzuzeigen, nachdem er hiervon Kenntnis erlangt hat. Für den Ersatz eines verlorenen, gestohlenen, missbräuchlich verwendeten oder sonst nicht autorisiert genutzten Zahlungsinstruments darf der Zahlungsdienstleister mit dem Zahlungsdienstnutzer ein Entgelt vereinbaren, das allenfalls die ausschließlich und unmittelbar mit dem Ersatz verbundenen Kosten abdeckt.

(2) Eine Vereinbarung, durch die sich der Zahlungsdienstnutzer gegenüber dem Zahlungsdienstleister verpflichtet, Bedingungen für die Ausgabe und Nutzung eines Zahlungsinstruments einzuhalten, ist nur insoweit wirksam, als diese Bedingungen sachlich, verhältnismäßig und nicht benachteiligend sind.

(1) Beruhen nicht autorisierte Zahlungsvorgänge auf der Nutzung eines verloren gegangenen, gestohlenen oder sonst abhandengekommenen Zahlungsinstruments oder auf der sonstigen missbräuchlichen Verwendung eines Zahlungsinstruments, so kann der Zahlungsdienstleister des Zahlers von diesem den Ersatz des hierdurch entstandenen Schadens bis zu einem Betrag von 50 Euro verlangen.

(2) Der Zahler haftet nicht nach Absatz 1, wenn

1.
es ihm nicht möglich gewesen ist, den Verlust, den Diebstahl, das Abhandenkommen oder eine sonstige missbräuchliche Verwendung des Zahlungsinstruments vor dem nicht autorisierten Zahlungsvorgang zu bemerken, oder
2.
der Verlust des Zahlungsinstruments durch einen Angestellten, einen Agenten, eine Zweigniederlassung eines Zahlungsdienstleisters oder eine sonstige Stelle, an die Tätigkeiten des Zahlungsdienstleisters ausgelagert wurden, verursacht worden ist.

(3) Abweichend von den Absätzen 1 und 2 ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler

1.
in betrügerischer Absicht gehandelt hat oder
2.
den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung
a)
einer oder mehrerer Pflichten gemäß § 675l Absatz 1 oder
b)
einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments.

(4) Abweichend von den Absätzen 1 und 3 ist der Zahler seinem Zahlungsdienstleister nicht zum Schadensersatz verpflichtet, wenn

1.
der Zahlungsdienstleister des Zahlers eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht verlangt oder
2.
der Zahlungsempfänger oder sein Zahlungsdienstleister eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht akzeptiert.
Satz 1 gilt nicht, wenn der Zahler in betrügerischer Absicht gehandelt hat. Im Fall von Satz 1 Nummer 2 ist derjenige, der eine starke Kundenauthentifizierung nicht akzeptiert, verpflichtet, dem Zahlungsdienstleister des Zahlers den daraus entstehenden Schaden zu ersetzen.

(5) Abweichend von den Absätzen 1 und 3 ist der Zahler nicht zum Ersatz von Schäden verpflichtet, die aus der Nutzung eines nach der Anzeige gemäß § 675l Absatz 1 Satz 2 verwendeten Zahlungsinstruments entstanden sind. Der Zahler ist auch nicht zum Ersatz von Schäden im Sinne des Absatzes 1 verpflichtet, wenn der Zahlungsdienstleister seiner Pflicht gemäß § 675m Abs. 1 Nr. 3 nicht nachgekommen ist. Die Sätze 1 und 2 sind nicht anzuwenden, wenn der Zahler in betrügerischer Absicht gehandelt hat.

(1) Der Zahlungsdienstnutzer ist verpflichtet, unmittelbar nach Erhalt eines Zahlungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Er hat dem Zahlungsdienstleister oder einer von diesem benannten Stelle den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die sonstige nicht autorisierte Nutzung eines Zahlungsinstruments unverzüglich anzuzeigen, nachdem er hiervon Kenntnis erlangt hat. Für den Ersatz eines verlorenen, gestohlenen, missbräuchlich verwendeten oder sonst nicht autorisiert genutzten Zahlungsinstruments darf der Zahlungsdienstleister mit dem Zahlungsdienstnutzer ein Entgelt vereinbaren, das allenfalls die ausschließlich und unmittelbar mit dem Ersatz verbundenen Kosten abdeckt.

(2) Eine Vereinbarung, durch die sich der Zahlungsdienstnutzer gegenüber dem Zahlungsdienstleister verpflichtet, Bedingungen für die Ausgabe und Nutzung eines Zahlungsinstruments einzuhalten, ist nur insoweit wirksam, als diese Bedingungen sachlich, verhältnismäßig und nicht benachteiligend sind.

(1) Beruhen nicht autorisierte Zahlungsvorgänge auf der Nutzung eines verloren gegangenen, gestohlenen oder sonst abhandengekommenen Zahlungsinstruments oder auf der sonstigen missbräuchlichen Verwendung eines Zahlungsinstruments, so kann der Zahlungsdienstleister des Zahlers von diesem den Ersatz des hierdurch entstandenen Schadens bis zu einem Betrag von 50 Euro verlangen.

(2) Der Zahler haftet nicht nach Absatz 1, wenn

1.
es ihm nicht möglich gewesen ist, den Verlust, den Diebstahl, das Abhandenkommen oder eine sonstige missbräuchliche Verwendung des Zahlungsinstruments vor dem nicht autorisierten Zahlungsvorgang zu bemerken, oder
2.
der Verlust des Zahlungsinstruments durch einen Angestellten, einen Agenten, eine Zweigniederlassung eines Zahlungsdienstleisters oder eine sonstige Stelle, an die Tätigkeiten des Zahlungsdienstleisters ausgelagert wurden, verursacht worden ist.

(3) Abweichend von den Absätzen 1 und 2 ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler

1.
in betrügerischer Absicht gehandelt hat oder
2.
den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung
a)
einer oder mehrerer Pflichten gemäß § 675l Absatz 1 oder
b)
einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments.

(4) Abweichend von den Absätzen 1 und 3 ist der Zahler seinem Zahlungsdienstleister nicht zum Schadensersatz verpflichtet, wenn

1.
der Zahlungsdienstleister des Zahlers eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht verlangt oder
2.
der Zahlungsempfänger oder sein Zahlungsdienstleister eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht akzeptiert.
Satz 1 gilt nicht, wenn der Zahler in betrügerischer Absicht gehandelt hat. Im Fall von Satz 1 Nummer 2 ist derjenige, der eine starke Kundenauthentifizierung nicht akzeptiert, verpflichtet, dem Zahlungsdienstleister des Zahlers den daraus entstehenden Schaden zu ersetzen.

(5) Abweichend von den Absätzen 1 und 3 ist der Zahler nicht zum Ersatz von Schäden verpflichtet, die aus der Nutzung eines nach der Anzeige gemäß § 675l Absatz 1 Satz 2 verwendeten Zahlungsinstruments entstanden sind. Der Zahler ist auch nicht zum Ersatz von Schäden im Sinne des Absatzes 1 verpflichtet, wenn der Zahlungsdienstleister seiner Pflicht gemäß § 675m Abs. 1 Nr. 3 nicht nachgekommen ist. Die Sätze 1 und 2 sind nicht anzuwenden, wenn der Zahler in betrügerischer Absicht gehandelt hat.

Tenor

Auf die Revision der Beklagten wird der Beschluss des 5. Zivilsenats des Schleswig-Holsteinischen Oberlandesgerichts in Schleswig vom 22. Januar 2014 aufgehoben.

Die Sache wird zur neuen Verhandlung und Entscheidung, auch über die Kosten des Revisionsverfahrens, an das Berufungsgericht zurückverwiesen.

Von Rechts wegen

Tatbestand

1

Die klagende Sparkasse begehrt Ausgleich des Schlusssaldos eines Geschäftsgirokontos der Beklagten, die entgegenhält, der behauptete Fehlbetrag resultiere aus einer im Wege des Online-Bankings ausgelösten Überweisung auf ein Konto des Streithelfers, die von ihr nicht autorisiert worden sei.

2

Die Beklagte unterhielt bei der Klägerin u.a. ein Geschäftsgirokonto, mit dem sie seit März 2011 am Online-Banking teilnahm. Der Geschäftsführer der Beklagten M.   B.    erhielt dazu eine persönliche Identifikationsnummer (PIN), mit der er online auch auf das genannte Geschäftsgirokonto zugreifen und durch zusätzliche Eingabe einer Transaktionsnummer (TAN) Zahlungsaufträge erteilen konnte. Weiter vereinbarten die Parteien zur Freigabe einzelner Transaktionen das smsTAN-Verfahren (Übermittlung der TAN durch SMS) über eine Mobilfunknummer, die einer SIM-Karte zugewiesen war, die nach Angaben der Beklagten in einem grundsätzlich im Gewahrsam ihres Geschäftsführers befindlichen Mobiltelefon betrieben wurde.

3

Im Zuge einer Umstellung der EDV der Klägerin kam es im Juli 2011 zu länger andauernden Störungen in deren Online-Banking-System, über die auch in der Tagespresse berichtet wurde. Einige Kunden - darunter auch die Beklagte - konnten eine Zeit lang auf ihr Konto nicht online zugreifen, einzelne Lastschriften wurden nicht ausgeführt und andere Buchungen doppelt. In diesem Zusammenhang wurden aus nicht geklärten Umständen am 15. Juli 2011 dem Geschäftskonto der Beklagten fehlerhaft Beträge von 47.498,95 € und 191.576,25 € gutgeschrieben. Die Klägerin veranlasste am 15. und 17. Juli 2011 entsprechende Stornierungen, die aufgrund des Wochenendes erst am Montag, dem 18. Juli 2011, ausgeführt wurden. Wegen der Fehlbuchungen wies das Geschäftskonto der Beklagten bis zu diesem Montagmorgen buchungstechnisch ein Guthaben von nahezu 238.000 € auf.

4

Am Freitag, dem 15. Juli 2011, um 23:25 Uhr wurden unter Verwendung der PIN des Geschäftsführers der Beklagten im Online-Banking die Kontostände aller Konten der Beklagten sowie die Umsätze auf deren Geschäftskonto abgefragt. Um 23:29 Uhr wurde eine Überweisung von 235.000 € mit dem Verwendungszweck "M.    B.      ", dem Namen des Geschäftsführers der Beklagten, zugunsten des Streithelfers der Klägerin in das Online-Banking-System der Klägerin eingegeben. Die erforderliche smsTAN wurde von der Klägerin zur vereinbarten Mobiltelefonnummer der Beklagten übermittelt und sodann für die Freigabe dieser Überweisung verwendet. Im Anschluss daran kam es zwischen 23:31 Uhr und 23:36 Uhr zu drei weiteren Umsatzabfragen und einer Statusabfrage. Die Überweisung wurde am Montagmorgen, dem 18. Juli 2011, mit dem ersten Buchungslauf ausgeführt. Da zeitgleich die fehlerhaften Gutschriften berichtigt wurden, ergab sich ein Sollbetrag auf dem Geschäftskonto der Beklagten.

5

Nachdem die Klägerin die Beklagte erfolglos zum Ausgleich des Kontos aufgefordert hatte, kündigte sie die Geschäftsbeziehung fristlos und fordert mit der vorliegenden Klage Ausgleich des negativen Schlusssaldos von 236.422,14 € nebst Zinsen.

6

Die Klägerin hat behauptet, bei dem streitigen Zahlungsvorgang hätten keine Unregelmäßigkeiten vorgelegen. Der technische Ablauf sei ordnungsgemäß aufgezeichnet worden. Anhand der Darlegungen der Beklagten könne nicht nachvollzogen werden, wie es zu einem Missbrauch hätte kommen können.

7

Die Beklagte hat vorgetragen, sie bzw. ihr Geschäftsführer hätte die Überweisung nicht veranlasst und auch nicht veranlassen können, weil ihr Geschäftsführer zum maßgeblichen Zeitpunkt im Urlaub gewesen sei und sich das Geschäftshandy bei ihrem Mitarbeiter Ma.     befunden habe, der die Überweisung ebenfalls nicht autorisiert, sondern die SMS, mit der eine TAN übermittelt worden sei, für Spam gehalten und "weggedrückt" habe.

8

Der Streithelfer der Klägerin hat behauptet, ihm habe eine schriftliche Weisung des Geschäftsführers der Beklagten vorgelegen, aufgrund der er den erhaltenen Betrag auf ein ihm mitgeteiltes Konto weitergeleitet habe. Im Übrigen hat er sich auf seine Schweigepflicht als Rechtsanwalt berufen.

9

Das Landgericht hat der Klage ohne Beweisaufnahme stattgegeben. Die Berufung der Beklagten ist vom Berufungsgericht durch Beschluss nach § 522 Abs. 2 ZPO zurückgewiesen worden. Mit der vom Senat zugelassenen Revision verfolgt die Beklagte ihren Klageabweisungsantrag weiter.

Entscheidungsgründe

10

Die Revision ist begründet. Sie führt zur Aufhebung des Beschlusses des Berufungsgerichts und zur Zurückverweisung der Sache an das Berufungsgericht.

I.

11

Das Berufungsgericht hat unter umfassender Bezugnahme auf die Gründe des landgerichtlichen Urteils zur Begründung seiner Entscheidung im Wesentlichen ausgeführt:

12

Die Beklagte schulde der Klägerin Aufwendungsersatz nach §§ 675c, 670 BGB, da die Klägerin nach § 675w Satz 1 BGB den Nachweis einer Authentifizierung der streitigen Überweisung durch die Beklagte geführt habe. Die Beklagte habe den aus der Verwendung der richtigen PIN und TAN folgenden gegen sie sprechenden Anschein einer ordnungsgemäßen Nutzung des Online-Bankings nicht erschüttert. Umstände, welche die Benutzung des Zahlungsauthentifizierungsinstruments durch einen Unberechtigten plausibel erklären könnten, habe die Beklagte nicht aufgezeigt. Von der Beklagten angebotenen Zeugenbeweis habe das Landgericht zu Recht nicht erhoben, da kein substantiierter Tatsachenvortrag zu einem konkreten Missbrauch gehalten worden sei. Auch im Berufungsverfahren erhelle die Beklagte nicht, wie es zu einer nicht autorisierten Überweisung habe kommen können. Es fehle substantiierter Vortrag dazu, dass das Firmenhandy mit einem Schadprogramm infiziert gewesen sei. Das Handy sei zu keiner Zeit von einem Computerspezialisten überprüft worden. Überdies bleibe unklar, wie ein unbefugter Dritter an die Zugangsdaten hätte gelangen können. Die vom Streithelfer behauptete schriftliche Zahlungsanweisung habe das Landgericht als Indiz würdigen dürfen, ohne die anwaltlich vertretene Beklagte hierzu auf die Möglichkeit eines Beweisantrags hinweisen zu müssen.

II.

13

Die Entscheidung des Berufungsgerichts hält revisionsrechtlicher Nachprüfung nicht stand. Die vom Berufungsgericht getroffenen Feststellungen rechtfertigen keinen Aufwendungsersatzanspruch der Klägerin gegen die Beklagte aus § 675c Abs. 1, § 675 i.V.m. § 670 BGB. Das Berufungsgericht hat bei Prüfung der dafür nach § 675j Abs. 1 BGB erforderlichen Autorisierung der streitgegenständlichen Überweisung durch die Beklagte die Voraussetzungen eines Anscheinsbeweises im Falle der Verwendung eines Zahlungsauthentifizierungsinstruments nach § 675j Abs. 1 Satz 4 BGB im Online-Banking verkannt sowie die Anforderungen an eine Erschütterung des Anscheinsbeweises überspannt.

14

1. Zutreffend geht das Berufungsgericht davon aus, dass ein Aufwendungsersatzanspruch der Klägerin gegen die Beklagte nach § 675c Abs. 1, § 675 i.V.m. § 670 BGB auf Zahlung des nach Kündigung des Geschäftsgirovertrages vorhandenen Sollsaldos den von der Klägerin zu erbringenden Nachweis einer Zustimmung des Zahlers (Autorisierung) zu der streitigen Überweisung nach § 675j Abs. 1 Satz 1 BGB voraussetzt. Gemäß § 675j Abs. 1 Satz 3 BGB ist die Art und Weise der Zustimmung zwischen dem Zahler und dem Zahlungsdienstleister zu vereinbaren. Dabei kann nach § 675j Abs. 1 Satz 4 BGB festgelegt werden, dass die Zustimmung mittels eines Zahlungsauthentifizierungsinstruments im Sinne des § 1 Abs. 5 ZAG erteilt werden kann. Danach haben vorliegend die Parteien für die Autorisierung im Online-Banking die Nutzung des von der Beklagten angebotenen smsTAN-Verfahrens vereinbart, bei dem ein Zahlungsvorgang durch die Eingabe von PIN und TAN autorisiert wird, wobei die TAN mittels einer SMS-Nachricht an eine vereinbarte Mobilfunknummer des Bankkunden gesendet wird.

15

2. Weiter hat das Berufungsgericht nach § 559 Abs. 2 ZPO für die Revisionsinstanz bindend und insoweit von der Revision unangegriffen festgestellt, dass die Klägerin den Nachweis der Authentifizierung des streitigen Zahlungsvorgangs sowie von dessen ordnungsgemäßer Verbuchung, Aufzeichnung und Störungsfreiheit geführt hat.

16

Ist - wie hier - die Autorisierung eines Zahlungsvorgangs streitig, hat der Zahlungsdienstleister nach § 675w Satz 1 BGB zunächst die Authentifizierung sowie die ordnungsgemäße Aufzeichnung, Verbuchung und störungsfreie, keine Auffälligkeiten aufweisende technische Abwicklung des Zahlungsvorgangs nachzuweisen. Eine Authentifizierung ist nach § 675w Satz 2 BGB erfolgt, wenn der Zahlungsdienstleister die Nutzung des vereinbarten Zahlungsauthentifizierungsinstruments, einschließlich seiner personalisierten Sicherheitsmerkmale, mithilfe eines Verfahrens überprüft hat. Sind diese Voraussetzungen nicht erfüllt, ist der Nachweis einer Autorisierung mithilfe des betroffenen Zahlungsauthentifizierungsinstruments gescheitert (Palandt/Sprau, BGB, 75. Aufl., § 675w Rn. 2; MünchKommBGB/Casper, 6. Aufl., § 675w Rn. 4; Maihold in Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 4. Aufl., § 55 Rn. 72 f.; Staudinger/Omlor, BGB, Neubearb. 2012, § 675w Rn. 4 f.; Nobbe in Ellenberger/Findeisen/Nobbe, Kommentar zum Zahlungsverkehrsrecht, 2. Aufl., § 675w BGB Rn. 16).

17

Vorliegend hat das Landgericht, dem das Berufungsgericht insoweit gefolgt ist, die erfolgreiche Überprüfung der streitigen Überweisung durch die Beklagte anhand des vorgelegten Transaktionsprotokolls und damit - insoweit von der Revision nicht angegriffen - den Nachweis der Authentifizierung dieses Zahlungsvorgangs sowie den Nachweis der Verbuchung, Aufzeichnung und Störungsfreiheit festgestellt.

18

3. Zutreffend geht das Berufungsgericht davon aus, dass nach § 675w Satz 3 Nr. 1 BGB die Authentifizierung und die Aufzeichnung der Nutzung des Zahlungsauthentifizierungsinstruments einschließlich der personalisierten Sicherheitsmerkmale aber nicht notwendigerweise ausreichen, den dem Zahlungsdienstleister - hier der Klägerin - obliegenden Nachweis einer Autorisierung des Zahlungsvorgangs zu führen. Hierzu von der Klägerin angebotene Beweise, insbesondere die Einvernahme des Streithelfers der Klägerin als Zeugen und die Einholung eines Sachverständigengutachtens, haben - von ihrem Rechtsstandpunkt zur Anwendung der Grundsätze des Anscheinsbeweises folgerichtig - jedoch weder das Landgericht noch das Berufungsgericht erhoben.

19

4. Weiter rechtsfehlerfrei geht das Berufungsgericht davon aus, dass sich ein Zahlungsdienstleister statt dessen gegenüber dem Zahler unter bestimmten Voraussetzungen zum Nachweis der strittigen Autorisierung auf einen Beweis des ersten Anscheins berufen kann, der allerdings bei Nutzung eines Zahlungsauthentifizierungsinstruments den besonderen Anforderungen des § 675w Satz 3 BGB genügen muss. Danach ist Voraussetzung eines Anscheinsbeweises bei Nutzung eines Zahlungsauthentifizierungsinstruments ein Sicherheitssystem, das allgemein praktisch nicht zu überwinden war, im konkreten Einzelfall ordnungsgemäß angewendet worden ist und fehlerfrei funktioniert hat.

20

a) In Rechtsprechung und Literatur ist streitig, ob die Beweisregeln in § 675w Satz 3 BGB, mit dem Art. 59 Abs. 2 der Richtlinie 2007/64/EG über Zahlungsdienste im Binnenmarkt (Zahlungsdiensterichtlinie) umgesetzt worden ist, einer Anwendung der Grundsätze des Anscheinsbeweises zugunsten des Zahlungsdienstleisters gestützt auf die Aufzeichnung der Nutzung eines Zahlungsauthentifizierungsinstruments entgegenstehen.

21

aa) Eine Meinung in der Literatur (Franck/Massari, WM 2009, 1117, 1126; Jungmann in Jahrbuch junger Zivilrechtswissenschaftler Bd. 2007, 2008, S. 329, 356; Scheibengruber, BKR 2010, 15, 21; kritisch auch: Erman/Graf von Westphalen, BGB, 14. Aufl., § 675w Rn. 16 ff.), der sich vereinzelt Gerichte angeschlossen haben (z.B. AG Berlin-Mitte, NJW-RR 2010, 407, 408), geht davon aus, § 675w Satz 3 BGB verbiete im Zahlungsdiensterecht bei Einsatz eines Authentifizierungsinstruments die Anwendung des Anscheinsbeweises, da das dadurch entstehende Regel-Ausnahme-Verhältnis Sinn und Zweck des § 675w Satz 3 BGB widerspreche.

22

bb) Demgegenüber nimmt die h.M. an, § 675w Satz 3 BGB hindere eine Anwendung des Anscheinsbeweises im Zahlungsdiensterecht grundsätzlich nicht (OLG Düsseldorf, ZIP 2012, 2244, 2245; OLG Dresden, ZIP 2014, 766, 768; Beesch in Dauner-Lieb/Langen, BGB, 2. Aufl., § 675w Rn. 37; Beesch/Willershausen, juris-PR-BKR 9/2012 Anm. 1; Bunte, ABG-Banken und Sonderbedingungen, 4. Aufl., 4. Teil Rn. 31; MünchKommBGB/Casper, 6. Aufl., § 675w Rn. 13; Herresthal in Langenbucher/Bliesener/Spindler, Bankrechts-Kommentar, 2013, § 675w Rn. 13; Hofmann, BKR 2014, 105, 112; Lohmann/Koch, WM 2008, 57, 63; Maihold in Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 4. Aufl., § 55 Rn. 80; Meckel, jurisPR-BKR 2/2010 Anm. 1; Nobbe, WM 2011, 961, 968; ders. in Ellenberger/Findeisen/Nobbe, Kommentar zum Zahlungsverkehrsrecht, 2. Aufl., § 675w Rn. 27; Staudinger/Omlor, BGB, Neubearb. 2012, § 675w Rn. 7; Schmalenbach in Bamberger/Roth, BGB, 3. Aufl., § 675w Rn. 12; Palandt/Sprau, BGB, 75. Aufl., § 675w Rn. 4; Werner in Kümpel/Wittig, Bank- und Kapitalmarktrecht, 4. Aufl., Rn. 7.774). Der Wortlaut des § 675w Satz 3 BGB verbiete mit der Formulierung "allein nicht notwendigerweise" lediglich zwingende Beweisregeln, nicht aber widerlegbare Beweiserleichterungen wie den Anscheinsbeweis.

23

b) Der Senat entscheidet diesen Streit anknüpfend an die h.M. dahin, dass § 675w Satz 3 BGB einer Anwendung des Anscheinsbeweises nicht entgegensteht, sondern vielmehr besondere Anforderungen an dessen Ausgestaltung stellt.

24

aa) Die Grundsätze des Anscheinsbeweises stehen nicht in Widerspruch zum Wortlaut des § 675w Satz 3 BGB, da dieser erst dann berührt wäre, wenn die Aufzeichnung der Nutzung eines Zahlungsauthentifizierungsinstruments einschließlich der Authentifizierung durch den Zahlungsdienstleister den vollen Beweis für die in § 675w Satz 3 Nr. 1 bis Nr. 3 BGB genannten Tatsachen erbringen würde. Die Grundsätze des Anscheinsbeweises begründen hingegen weder eine zwingende Beweisregel noch eine Beweisvermutung und auch keine Beweislastumkehr zulasten einer Partei (st. Rspr. BGH, z.B. Urteile vom 5. Februar 1987 - I ZR 210/84, BGHZ 100, 31, 34 und vom 5. Oktober 2004 - XI ZR 210/03, BGHZ 160, 308, 319). Ein Anscheinsbeweis wird vielmehr bereits dadurch erschüttert, dass der Prozessgegner atypische Umstände des Einzelfalles darlegt und im Falle des Bestreitens Tatsachen nachweist, die die ernsthafte, ebenfalls in Betracht kommende Möglichkeit einer anderen Ursache nahelegen (BGH, Urteile vom 3. Juli 1990 - VI ZR 239/89, NJW 1991, 230, 231 mwN und vom 17. Januar 1995 - X ZR 82/93, VersR 1995, 723, 724).

25

Dies wird durch die Entstehungsgeschichte der Vorschrift gestützt. Der Zusatz "nicht notwendigerweise" ist in den Entwurf der Zahlungsdiensterichtlinie erst später eingefügt worden (MünchKommBGB/Casper, 6. Aufl., § 675w Rn. 12; Maihold in Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 4. Aufl., § 55 Rn. 80; siehe auch Burgard, WM 2006, 2065, 2069), um klarzustellen, dass eine umfassende Beweiswürdigung nach den Grundsätzen des nationalen Prozessrechts möglich bleiben soll (Erwägungsgrund 33 der Zahlungsdiensterichtlinie). Deswegen geht auch die Regierungsbegründung zum Entwurf des § 675w Satz 3 BGB davon aus, dass die nationalen Beweisgrundsätze und damit auch diejenigen über den Anscheinsbeweis weiterhin zulässig bleiben (BT-Drucks. 16/11643, S. 115).

26

bb) Der in § 675w Satz 3 BGB festgelegten Beweisregel ist aber auch bei Anwendung des Anscheinsbeweises praktische Geltung zu verschaffen. § 675w Satz 3 BGB begrenzt den Beweiswert einer schlichten Dokumentation des technischen Authentifizierungsvorgangs, um den Zahlungsdienstnutzer, der weder den Authentifizierungsvorgang technisch gestalten noch dessen korrekte Funktion im Einzelfall überblicken kann, nicht über § 675v Abs. 1 BGB hinaus mit den Risiken eines Missbrauchs technischer Authentifizierungsinstrumente zu belasten. Deswegen dürfen im Zahlungsdiensterecht beim Einsatz technischer Authentifizierungsinstrumente die Grundsätze des Anscheinsbeweises nicht so gehandhabt werden, dass sie bei Vorliegen allein der in § 675w Satz 3 BGB genannten technischen Merkmale aus praktischer Sicht einer Beweislastumkehr gleichkommen (vgl. Hofmann, BKR 2014, 105, 112; Maihold in Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 4. Aufl., § 55 Rn. 81; siehe auch Staudinger/Omlor, BGB, Neubearb. 2012, Vorbemerkungen zu §§ 675c - 676c Rn. 203 aE).

27

Für eine Anwendung der Grundsätze des Anscheinsbeweises im Zahlungsdiensterecht bei dem Nachweis einer Autorisierung durch ein vereinbartes Zahlungsauthentifizierungsinstrument reicht danach allein die korrekte Aufzeichnung der Nutzung dieses Zahlungsauthentifizierungsinstruments nicht aus. Vielmehr müssen dessen allgemeine praktische Sicherheit und die Einhaltung des Sicherheitsverfahrens im konkreten Einzelfall feststehen. Zudem bedarf die Erschütterung des Anscheinsbeweises nicht zwingend der Behauptung und ggf. des Nachweises technischer Fehler des dokumentierten Authentifizierungsverfahrens.

28

(1) Der Anscheinsbeweis für eine Autorisierung durch den Zahlungsdienstnutzer darf nicht ohne Rücksicht auf das technische Schutzniveau des verwendeten Sicherheitssystems allein an die ordnungsgemäß aufgezeichnete Nutzung eines Zahlungsauthentifizierungsinstruments einschließlich seiner personalisierten Sicherheitsmerkmale anknüpfen (vgl. Staudinger/Omlor, BGB, Neubearb. 2012, Vorbemerkungen zu §§ 675c - 676c Rn. 203 aE; siehe dazu auch Schinkels in Gebauer/Wiedmann, Zivilrecht unter europäischem Einfluss, 2. Aufl., Kap. 16 Rn. 56). Die korrekte Aufzeichnung der Nutzung eines nicht ausreichend sicheren Zahlungsauthentifizierungsinstruments kann nämlich für sich keine Beweiserleichterung für den Zahlungsdienstleister rechtfertigen, da andernfalls der Zahlungsdienstnutzer entgegen der Wertung des § 675w Satz 3 Nr. 1 BGB das Risiko von Defiziten des von ihm nicht zu verantwortenden Authentifizierungsvorgangs tragen würde. Vielmehr ist ein allgemein praktisch nicht zu überwindendes und im konkreten Einzelfall ordnungsgemäß angewendetes und fehlerfrei funktionierendes Sicherheitssystem Voraussetzung für die Anwendung der Grundsätze des Anscheinsbeweises.

29

(2) Darüber hinaus darf vom Zahlungsdienstnutzer zur Erschütterung des Anscheinsbeweises nicht Vortrag und ggf. Nachweis verlangt werden, auf welche Weise die Schutzvorkehrungen des Authentifizierungsverfahrens überwunden worden oder weshalb sie wirkungslos geblieben sind. Das käme in der praktischen Wirkung ebenfalls einer gegen § 675w Satz 3 BGB verstoßenden unwiderleglichen Beweislastumkehr gleich (vgl. Erfurth, WM 2006, 2198, 2206), da der Zahlungsdienstnutzer im Allgemeinen über keine Kenntnisse zu dem eingesetzten Sicherungssystem und dessen Beachtung im Einzelfall verfügen wird. Vielmehr kann zur Erschütterung des Anscheinsbeweises die Darlegung und ggf. der Nachweis aller und damit auch außerhalb des technischen Zahlungsvorgangs liegender Tatsachen genügen, die die ernsthafte Möglichkeit eines Missbrauchs nahelegen (vgl. dazu BGH, Urteile vom 3. Juli 1990 - VI ZR 239/89, NJW 1991, 230, 231 mwN und vom 17. Januar 1995 - X ZR 82/93, VersR 1995, 723, 724).

30

5. Nach diesen Maßstäben hat das Berufungsgericht sowohl die Voraussetzungen für eine Anwendung der Grundsätze des Anscheinsbeweises im Online-Banking verkannt und deswegen erforderliche Feststellungen nicht getroffen als auch rechtsfehlerhaft die Anforderungen an ein Erschüttern des von ihm angenommenen Anscheinsbeweises durch die Beklagte als Zahlungsdienstnutzer überspannt.

31

a) Die Frage, ob im Einzelfall die Grundsätze eines Anscheinsbeweises anzuwenden sind, unterliegt der Prüfung durch das Revisionsgericht (BGH, Urteile vom 5. Februar 1987 - I ZR 210/84, BGHZ 100, 31, 33, vom 17. Februar 1988 - IVa ZR 277/86, NJW-RR 1988, 789, 790, vom 6. März 1991 - IV ZR 82/90, VersR 1991, 460, vom 23. Januar 1997 - I ZR 29/94, WM 1997, 1493, 1496 und vom 5. Oktober 2004 - XI ZR 210/03, BGHZ 160, 308, 313).

32

b) Entgegen der Ansicht der Revisionsbegründung ist eine Anwendung der Grundsätze eines Anscheinsbeweises im Online-Banking nicht allgemein ausgeschlossen. Die allseits bekannte Gefahr des Ausspähens und Verfälschens von Daten, die über das Internet übermittelt werden, steht einer gesicherten Lebenserfahrung zur Verlässlichkeit einer Online-Autorisierung nämlich dann nicht entgegen, wenn auf Grundlage aktueller Erkenntnisse die allgemeine praktische Unüberwindbarkeit eines konkret eingesetzten Sicherungsverfahrens und dessen Beachtung im konkreten Einzelfall feststehen.

33

aa) Ob der Beweis des ersten Anscheins für die Autorisierung eines Zahlungsvorgangs im Online-Banking allgemein oder für bestimmte Authentifizierungsverfahren ausgeschlossen ist, ist in Literatur und Rechtsprechung umstritten (einen Anscheinsbeweis wohl generell verneinend: Casper/Pfeifle, WM 2009, 2343, 2348; Kind/Werner, CR 2006, 353, 359; Erman/Graf von Westphalen, BGB, 14. Aufl., § 675w Rn. 21; Wiesgickl, WM 2000, 1039, 1047; einen Anscheinsbeweis bei Nutzung des einfachen PIN/TAN-Verfahrens ablehnend: AG Wiesloch, WM 2008, 1648, 1650; AG Krefeld, MMR 2013, 164, 165; Bunte, ABG-Banken und Sonderbedingungen, 4. Aufl., 4. Teil Rn. 26; Dienstbach/Mühlenbrock, K&R 2008, 151, 154; Erfurth, WM 2006, 2198, 2205; Nobbe in Ellenberger/Findeisen/Nobbe, Kommentar zum Zahlungsverkehrsrecht, 2. Aufl., § 675w Rn. 51; Spindler in Festschrift Nobbe, 2009, S. 215, 232; auch für das iTAN-Verfahren zweifelnd MünchKommBGB/Casper, 6. Aufl., § 675w Rn. 20; Staudinger/Omlor, BGB, Neubearb. 2012, § 675w Rn. 10; einen Anscheinsbeweis bei Nutzung des mTAN-(= smsTAN)Verfahrens bejahend: LG Köln, WM 2014, 2372 f.; Borges in Derleder/Knops/Bamberger, Handbuch zum deutschen und europäischen Bankrecht, 2. Aufl., Rn. 157; ders., BKR 2009, 85; MünchKommBGB/Casper, 6. Aufl., § 675w Rn. 20; einen Anscheinsbeweis bei Verwendung des einfachen PIN/TAN- oder iTAN-Verfahrens ablehnend, jedoch für das mTAN-, Sm@rtTAN plus- und Sm@rtTAN optic-Verfahren bejahend: Köbrich, VuR 2015, 9, 12; einen Anscheinsbeweis nur für optimierte eTAN bzw. chipTAN-Verfahren annehmend Hoeren/Kairies, ZBB 2015, 35, 37; Maihold in Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 4. Aufl., § 55 Rn. 85, 87; generell für das Eingreifen eines Anscheinsbeweises bei Nutzung der richtigen PIN und TAN unabhängig vom konkret verwendeten System: Bock in Neumann/Bock, Zahlungsverkehr im Internet, 2004, Rn. 180; Borges, NJW 2005, 3313, 3317; van Gelder in Festschrift Nobbe, 2009, S. 55, 67; Gößmann/Bredenkamp in Festschrift Nobbe, 2009, S. 93, 111; Karper, DuD 2006, 215, 218; Weber, Recht des Zahlungsverkehrs, 4. Aufl., S. 304; Werner, MMR 1998, 232, 235; Werner in Kümpel/Wittig, Bank- und Kapitalmarktrecht, 4. Aufl., Rn. 7.774).

34

bb) Der Senat entscheidet diese Streitfrage dahin, dass die Anwendung des Anscheinsbeweises für eine Autorisierung durch den Zahler im Online-Banking unter den oben genannten Voraussetzungen rechtlich zulässig und nicht generell ausgeschlossen ist.

35

Gegenwärtig werden nämlich Authentifizierungsverfahren im Online-Banking dann noch allgemein als praktisch unüberwindbar angesehen, wenn diese von einer Kompromittierung der eingesetzten Geräte nicht berührt werden, ein Zugriff Unberechtigter auf den Übertragungsweg ausgeschlossen ist, die - dynamische - TAN an den konkreten Zahlungsvorgang gebunden ist und das Verfahren dem Zahlungsdienstnutzer vor einer Freigabe die Überprüfung des vollständigen, unverfälschten Zahlungsauftrags ermöglicht (siehe Hoeren/Kairies, ZBB 2015, 35, 36 f. und WM 2015, 549, 552 zum chipTAN-Verfahren; vgl. dazu auch Maihold in Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 4. Aufl., § 55 Rn. 19, 85). Bislang sind noch keine praktisch erfolgreichen Angriffe auf ein derart ausgestaltetes System in der Öffentlichkeit bekannt geworden. Eine die Anwendung des Anscheinsbeweises rechtfertigende Typik muss somit nicht von vornherein an der allgemeinen Unsicherheit einer Datenübertragung über das Internet scheitern.

36

c) Das Berufungsgericht hat aber rechtsfehlerhaft ohne Prüfung der praktischen Unüberwindbarkeit des eingesetzten Sicherungssystems einen Erfahrungssatz angenommen, nach Nutzung der zutreffenden PIN und smsTAN für einen Zahlungsauftrag im Online-Banking spreche der Anschein für dessen Autorisierung durch den Kontoinhaber. In diesem Zusammenhang hat es weiter zu Unrecht von dem Zahlungsdienstnutzer - hier der Beklagten - Darlegung und ggf. Nachweis dafür verlangt, dass die Nutzung des Authentifizierungsinstruments durch Unberechtigte technisch möglich gewesen sei.

37

aa) Der Beweis des ersten Anscheins erfordert die Feststellung eines allgemeinen Erfahrungssatzes als einer aus allgemeinen Umständen gezogenen tatsächlichen Schlussfolgerung, die auf den vorliegenden konkreten Sachverhalt angewendet werden kann (BGH, Urteile vom 4. Oktober 1983 - VI ZR 98/82, VersR 1984, 40 und vom 6. März 1991 - IV ZR 82/90, VersR 1991, 460, 461). Dieser Sachverhalt, der grundsätzlich von der beweisbelasteten Partei darzulegen und zu beweisen ist (BGH, Urteil vom 14. September 2005 - VIII ZR 369/04, NJW 2006, 300 Rn. 11), muss einer Typik entsprechen, also nach der allgemeinen Lebenserfahrung auf eine bestimmte Ursache oder auf einen bestimmten Ablauf als maßgeblich für den Eintritt eines bestimmten Erfolges hinweisen (BGH, Urteile vom 27. Mai 1957 - II ZR 132/56, BGHZ 24, 308, 312, vom 5. Februar 1987 - I ZR 210/84, BGHZ 100, 31, 33, vom 6. März 1991 - IV ZR 82/90, VersR 1991, 460, 461, vom 5. Oktober 2004 - XI ZR 210/03, BGHZ 160, 308, 313 und vom 14. September 2005 - VIII ZR 369/04, NJW 2006, 300 Rn. 9 f.).

38

Voraussetzungen eines Anscheinsbeweises, der für die Autorisierung des Zahlungsvorgangs durch den Zahlungsdienstnutzer im Online-Banking spricht, sind danach - wie oben dargestellt - nicht nur die in § 675w Satz 1 BGB genannten Umstände, die lediglich die Dokumentation des Authentifizierungsvorgangs betreffen, sondern es bedarf zusätzlich der Feststellung eines allgemein praktisch nicht zu überwindenden, im konkreten Einzelfall ordnungsgemäß angewendeten und fehlerfrei funktionierenden Sicherheitssystems.

39

bb) Dazu hat das Berufungsgericht keine Feststellungen getroffen, sondern die rechtsfehlerhafte Auffassung des Landgerichts bestätigt, bereits die korrekte Aufzeichnung im Transaktionsprotokoll begründe den "Anschein einer ordnungsgemäßen Nutzung des Online-Banking".

40

(1) Funktionsweise und allgemeine praktische Unüberwindbarkeit des hier verwendeten smsTAN-Verfahrens sind weder substantiiert dargelegt noch sind dazu Beweise erhoben worden. Die isolierte Feststellung, die für einen Zahlungsvorgang erforderliche TAN sei an die bei der Bank hinterlegte Rufnummer der SIM-Karte des Geschäftsführers der Beklagten übermittelt und mit dieser TAN sei die Überweisung freigegeben worden, liefert keine Information zum Sicherheitsniveau des konkret eingesetzten Verfahrens.

41

(2) Weiter fehlt die notwendige Klärung, ob das von dem Zahlungsdienstleister konkret genutzte Sicherheitssystem im Zeitpunkt der Vornahme des strittigen Zahlungsvorganges ein ausreichendes Sicherheitsniveau für die Anwendung des Anscheinsbeweises geboten hat (vgl. dazu Senatsurteile vom 14. November 2006 - XI ZR 294/05, BGHZ 170, 18 Rn. 31 und vom 29. November 2011 - XI ZR 370/10, WM 2012, 164 Rn. 37; Senatsbeschluss vom 6. Juli 2010 - XI ZR 224/09, WM 2011, 924 Rn. 12). Diese Prüfung muss auf Grundlage des neuesten Stands der Erfahrung erfolgen (vgl. dazu Laumen in Baumgärtel/Laumen/Prütting, Handbuch der Beweislast, 3. Aufl., Kap. 17 Rn. 26). Gerade im Online-Banking, in dem Sicherungssysteme und Angriffsszenarien laufenden und kurzfristigen Änderungen unterworfen sind, reichen älterer Rechtsprechung zugrunde liegende Erkenntnisse oder Ansichten von Stimmen in der Literatur nicht aus. Vielmehr wird regelmäßig Anlass bestehen, das eingesetzte Sicherungssystem und den konkreten technischen Ablauf, die dem streitigen Zahlungsvorgang zugrunde lagen, einer die aktuellen Erkenntnisse auswertenden sachverständigen Begutachtung zu unterziehen, um den neuesten Stand der Erfahrung zu erfassen (vgl. dazu auch Senatsbeschluss vom 6. Juli 2010 - XI ZR 224/09, WM 2011, 924 Rn. 12 und Senatsurteil vom 29. November 2011 - XI ZR 370/10, WM 2012, 164 Rn. 37).

42

(a) Da zu dem hier eingesetzten smsTAN-Verfahren zahlreiche bekannt gewordene erfolgreiche Attacken die Frage aufwerfen, ob es allgemein als praktisch unüberwindbar gelten und damit einen Anscheinsbeweis für die Autorisierung der Zahlung durch den Zahlungsdienstnutzer bei Verwendung der richtigen PIN und TAN rechtfertigen kann, hätte das Berufungsgericht hierzu Feststellungen treffen müssen. So sind zum Online-Banking eingesetzte Computer zugleich mit dem zum Empfang der TAN eingesetzten Smartphone infiziert worden (vgl. Bundesamt für Sicherheit in der Informationstechnik, Pressemeldung vom 4. März 2011, Neue Schadsoftware liest mTAN-Nummern mit), sodass Zahlungsvorgänge in Echtzeit manipuliert werden konnten (siehe Bundeskriminalamt, Bundeslagebericht 2013 - Cybercrime, S. 8). Weiter waren mittels eines Trojaners durchgeführte sog. Man-In-The-Middle/Man-In-The-Browser-Attacken erfolgreich (Bundeskriminalamt, Bundeslagebericht 2014 - Cybercrime, S. 7 f. und Bundesamt für Sicherheit in der Informationstechnik, Die Lage der IT-Sicherheit in Deutschland 2014, S. 30; siehe dazu auch Köbrich, VuR 2015, 9, 10; Maihold in Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 4. Aufl., § 55 Rn. 85, 87; Nobbe in Ellenberger/Findeisen/Nobbe, Kommentar zum Zahlungsverkehrsrecht, 2. Aufl., § 675w Rn. 53; Staudinger/Omlor, BGB, Neubearb. 2012, § 675w Rn. 10). Danach ist aufgrund öffentlich zugänglicher Quellen fraglich, ob das smsTAN-Verfahren allgemein einen Sicherheitsstandard aufweist, der die Anwendung der Regeln des Anscheinsbeweises rechtfertigt.

43

(b) Weiter hat das Berufungsgericht die Klärung rechtsfehlerhaft unterlassen, ob mögliche Sicherheitsdefizite des smsTAN-Verfahrens dessen Einordnung als allgemein praktisch unüberwindbar bereits im Zeitpunkt der streitigen Autorisierung hinderten. Denn inzwischen bekannt gewordene Schwächen des smsTAN-Verfahrens, die jedoch im Zeitpunkt der Erteilung des hier streitigen Zahlungsauftrags noch nicht bekannt oder praktisch nicht nutzbar waren, können einer Anwendung der Grundsätze des Anscheinsbeweises nicht entgegenstehen.

44

(3) Unabhängig davon war vor einer Anwendung der Grundsätze des Anscheinsbeweises die Einhaltung des Sicherheitsniveaus des smsTAN-Verfahrens im Online-Banking-System der Klägerin bei Erteilung des konkreten Zahlungsauftrags zu überprüfen.

45

Dazu bestand im vorliegenden Fall besonderer Anlass, da unstreitig wegen einer EDV-Umstellung bei der Klägerin über längere Zeit erhebliche Softwareprobleme auch im Online-Banking auftraten, die etwa zu unberechtigten Gutschriften in sechsstelliger Höhe führten. Davon war auch das Geschäftsgirokonto der Beklagten betroffen. Eine die Anwendung des Anscheinsbeweises rechtfertigende Typizität setzt mithin vorliegend die konkrete Darlegung und ggf. den Nachweis voraus, dass sich solche Probleme nicht auf das Sicherheitssystem des smsTAN-Verfahrens ausgewirkt haben.

46

(4) In diesem Zusammenhang hat das Berufungsgericht im Anschluss an das Landgericht weiter rechtsfehlerhaft angenommen, dass Voraussetzung einer Beweisaufnahme über die Sicherheit des eingesetzten Authentifizierungssystems substantiierter Vortrag der Beklagten als Zahlungsdienstnutzer zu konkreten Defiziten im Sicherheitssystem des Online-Bankings der Klägerin sei. Da grundsätzlich die beweisbelastete Partei die Darlegungs- und Beweislast auch für die Tatsachen trägt, die der Anwendung eines Anscheinsbeweises zugrunde liegen (BGH, Urteil vom 14. September 2005 - VIII ZR 369/04, NJW 2006, 300 Rn. 11), hat vielmehr der Zahlungsdienstleister - hier die Klägerin - die konkrete Ausgestaltung des von ihm eingesetzten Authentifizierungssystems und dessen Sicherheitsniveau darzulegen und im Falle des Bestreitens zu beweisen.

47

d) Das Berufungsgericht hat weiter rechtsfehlerhaft die Anforderungen an ein Erschüttern des von ihm angenommenen Anscheinsbeweises überspannt und deswegen von seinem Rechtsstandpunkt aus zu Unrecht die dazu von der Beklagten angebotenen Zeugen nicht vernommen bzw. den Geschäftsführer der Beklagten nicht zumindest angehört.

48

aa) Ein Anscheinsbeweis ist erschüttert, wenn der Beweisgegner Tatsachen darlegt und gegebenenfalls zur vollen Überzeugung des erkennenden Gerichts beweist (BGH, Urteil vom 18. Dezember 1952 - VI ZR 54/52, BGHZ 8, 239, 240), die die ernsthafte, ebenfalls in Betracht kommende Möglichkeit einer anderen Ursache nahelegen (BGH, Urteile vom 3. Juli 1990 - VI ZR 239/89, NJW 1991, 230, 231 mwN und vom 17. Januar 1995 - X ZR 82/93, VersR 1995, 723, 724). Danach muss der Zahlungsdienstnutzer zur Erschütterung des Anscheinsbeweises keinen konkreten und erfolgreichen Angriff gegen das Authentifizierungsinstrument beweisen, sondern nur solche Umstände, die gegen die Autorisierung durch ihn und für ein missbräuchliches Eingreifen eines Dritten sprechen. Diese Anforderungen kann der Zahler auch dadurch erfüllen, dass er außerhalb des Sicherheitssystems des Zahlungsdienstleisters liegende Indizien, die für einen nicht autorisierten Zahlungsvorgang sprechen, substantiiert darlegt und bei Bestreiten nachweist.

49

bb) Entgegen der Ansicht des Berufungsgerichts hat die Beklagte zu solchen, zur Erschütterung des Anscheinsbeweises geeigneten Umständen hinreichend vorgetragen.

50

(1) Sie hat behauptet und unter Beweis gestellt, dass der Geschäftsführer der Beklagten den Überweisungsempfänger nicht kenne und er diesem auch keine schriftliche Zahlungsanweisung erteilt habe. Sofern eine solche mit seiner Unterschrift vorliegen sollte, sei die Unterschrift gefälscht. Weiter sei er zum Zeitpunkt der Überweisung in Urlaub gewesen und habe keine Möglichkeit gehabt, Buchungen im Wege des Online-Bankings vorzunehmen. Das Mobiltelefon, in dem sich die SIM-Karte zu der bei der Klägerin für das smsTAN-Verfahren hinterlegten Telefonnummer befunden habe, habe sich im Gewahrsam eines Mitarbeiters befunden, der ebenfalls keinen Überweisungsauftrag erteilt habe. Die TAN sei zwar über SMS auf dem Mobiltelefon eingegangen, der Mitarbeiter habe diese SMS aber für Spam gehalten und "weggedrückt" sowie die TAN nicht verwendet.

51

(2) Träfe diese Sachdarstellung zu, hätte der Geschäftsführer der Beklagten im Zeitpunkt der Erteilung eines Überweisungsauftrags keinen Zugriff auf die erforderliche TAN gehabt und der als Zeuge benannte Mitarbeiter hätte mangels PIN keinen Zahlungsauftrag erteilen können sowie die TAN nicht genutzt. Zudem wäre der Zahlungsempfänger dem Geschäftsführer der Beklagten unbekannt gewesen. Könnte die Beklagte diese Behauptungen zur Überzeugung der Tatsachengerichte nachweisen, wäre ein Anscheinsbeweis ersichtlich erschüttert. Die Anträge auf Vernehmung des Mitarbeiters Ma.     und weiterer Zeugen sowie ggf. auf Anhörung des Geschäftsführers der Beklagten durften deswegen nicht zurückgewiesen werden. Das gilt auch für die Vernehmung des Streithelfers, die - was vom Berufungsgericht übersehen worden ist - bereits in der Klageerwiderung beantragt worden ist.

52

cc) Entgegen der Ansicht des Berufungsgerichts musste die Beklagte als Voraussetzung einer Erhebung dieser Beweise nicht darlegen, dass das von der Beklagten eingesetzte Mobiltelefon mit einem Schadprogramm infiziert gewesen ist, nicht von sich aus einen Computerexperten mit der Untersuchung des Mobiltelefons beauftragen und auch nicht erklären, auf welche Weise ein unbefugter Dritter an die Zugangsdaten gelangt ist. Die Erschütterung eines Anscheinsbeweises verlangt nämlich nicht die Aufklärung des unsicheren Geschehensablaufs, sondern lediglich den Nachweis der ernsthaften, ebenfalls in Betracht kommenden Möglichkeit einer anderen Ursache.

53

e) Die Revision beanstandet schließlich zu Recht, das Berufungsgericht habe in diesem Zusammenhang rechtsfehlerhaft die für die Klägerin günstige Indiztatsache, dem Streithelfer sei von der Beklagten ein Auftrag zur Weiterleitung des zu Unrecht überwiesenen Betrags erteilt worden, als festgestellt zugrunde gelegt. Dazu ist nämlich von der Klägerin und ihrem Streithelfer nur Vortrag gehalten worden, den die Beklagte bestritten hat, sodass es bei der Beweislast der Klägerin verblieben ist. Deswegen kommt es - anders als das Berufungsgericht meint - zunächst nicht auf einen Antrag der Beklagten zur Führung des Gegenbeweises an. Das Berufungsgericht hätte vielmehr den von der Klägerin angetretenen Hauptbeweis zu der ihr günstigen Behauptung erheben müssen, die Beklagte habe dem Streithelfer einen entsprechenden Auftrag erteilt. Da sich auch die Beklagte bereits in der Klageerwiderung - gegenbeweislich - auf die Vernehmung des Streithelfers als Zeugen berufen hat, dürfte dessen Vernehmung die anwaltliche Schweigepflicht aus einem möglichen Anwaltsvertrag mit der Beklagten nicht entgegenstehen (§ 385 Abs. 2, § 383 Abs. 1 Nr. 6 ZPO).

III.

54

Die Entscheidung des Berufungsgerichts stellt sich auch nicht aus anderen Gründen als richtig dar (§ 561 ZPO).

55

1. Die Überweisung des streitigen Betrags vom Konto der Beklagten auf ein Konto des Streithelfers wirkt nicht nach den Grundsätzen der Anscheinsvollmacht oder eines Handelns unter fremdem Namen zulasten der Beklagten.

56

a) In Rechtsprechung und Literatur ist umstritten, ob von Dritten unter Nutzung eines Zahlungsauthentifizierungsinstruments einschließlich seiner personalisierten Sicherheitsmerkmale veranlasste Zahlungsvorgänge dem Zahler nach den Grundsätzen der Anscheinsvollmacht zugerechnet werden können (für eine generelle Anwendbarkeit der Grundsätze der Anscheinsvollmacht: Gößmann in Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 3. Aufl., § 55 Rn. 26; Gößmann/Bredenkamp in Festschrift Nobbe, 2009, S. 93, 102 ff.; eine Anscheinsvollmacht im Falle eines Man-in-the-Middle-Angriffs bei Verwendung des Smart-TAN-plus-Verfahrens bejahend: LG Darmstadt, ZIP 2014, 1972, 1974; die Anwendbarkeit von Rechtsscheingrundsätzen ablehnend: KG, WM 2011, 493, 494; LG Berlin, Urteil vom 11. August 2009 - 37 O 4/09, juris Rn. 15; Borges, NJW 2005, 3313, 3314; Dienstbach/Mühlenbrock, K&R 2008, 151, 154; Köbrich, VuR 2015, 9, 12; Linardatos, BKR 2015, 96, 98; Maihold in Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 4. Aufl., § 55 Rn. 68; Omlor, ZfRV 2013, 80, 86; Spindler in Festschrift Nobbe, 2009, S. 215, 218 ff.; Erman/Graf von Westphalen, BGB, 14. Aufl., § 675w Rn. 22).

57

b) Der Senat hat erhebliche Zweifel, ob die Grundsätze einer Anscheinsvollmacht bzw. eines Handelns unter fremdem Namen im Recht der Zahlungsdienste neben den Spezialvorschriften der § 675j Abs. 1 Satz 4, §§ 675u, 675v BGB angewendet werden können.

58

Die Auffassung, ein Kontoinhaber müsse Zahlungsaufträge, die ein Dritter unter missbräuchlicher Verwendung eines Authentifizierungsinstruments erteilt hat, nach diesen Rechtsscheingrundsätzen gegen sich gelten lassen, wenn ihm das Handeln des Nichtberechtigten bekannt war oder er es hätte erkennen können (vgl. OLG Schleswig-Holstein, CR 2011, 52; KG Berlin, WM 2012, 493, 494; LG Darmstadt, ZIP 2014, 1972, 1974 f.; Fischer/Klanten/Koch, Bankrecht, 4. Aufl., Rn. 10.475 f.; MünchKommHGB/Häuser/Haertlein, 3. Aufl., Bd. 6, Bankkartenverfahren, Rn. E 37; Herresthal in Langenbucher/Bliesener/Spindler, Bankrechts-Kommentar, 2013, § 675u Rn. 7), ist mit den nach § 675e Abs. 1 BGB im Grundsatz abschließenden (vgl. auch Senatsurteil vom 16. Juni 2015 - XI ZR 243/13, WM 2015, 1631 Rn. 23) Regelungen in § 675j Abs. 1 Satz 4, § 675u Satz 1 BGB nicht zu vereinbaren (Linardatos, BKR 2015, 96, 98; Maihold in Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 4. Aufl., § 55 Rn. 68; siehe auch MünchKommBGB/Schubert, 7. Aufl., § 167 Rn. 126 und Stöber JR 2012, 225, 231). Denn nach dem zwischen Bank und Kunde geschlossenen Vertrag ist bei Nutzung eines personalisierten Zahlungsauthentifizierungsinstruments, das ohnehin nach § 675l BGB geheim zu halten ist, eine Bevollmächtigung Dritter ausnahmslos ausgeschlossen. Das Handeln eines Dritten bei der förmlichen Authentifizierung nach § 675j Abs. 1 Satz 4 BGB mit den personalisierten Sicherheitsmerkmalen des Kontoinhabers ist damit unwirksam und kann auch dann einen Zahlungsauftrag mittels des betreffenden Authentifizierungsverfahrens nicht autorisieren, wenn die persönlichen Sicherheitsmerkmale vom Dritten mit Zustimmung des Kontoinhabers eingesetzt worden sein sollten. Zudem ist der in § 675v Abs. 2 BGB festgelegte Grundsatz, dass der Kontoinhaber für einen nicht autorisierten Zahlungsvorgang nur bei Vorsatz oder grober Fahrlässigkeit einzustehen hat, berührt, wenn daneben dessen Haftung nach den Regeln eines Handelns unter fremdem Namen auch für einfache Fahrlässigkeit in Betracht käme (Linardatos, BKR 2015, 96, 98; Köbrich, VuR 2015, 9, 12; Maihold in Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 4. Aufl., § 55 Rn. 68; vgl. auch Stöber, JR 2012, 225, 231).

59

Soll ein entsprechend Bevollmächtigter das Recht erhalten, für den Kontoinhaber mit einem Zahlungsauthentifizierungsinstrument Zahlungsvorgänge zu autorisieren, muss ihm ein eigenes personalisiertes Authentifizierungsinstrument einschließlich gesonderter personalisierter Sicherheitsmerkmale zugewiesen werden.

60

c) Dies bedarf im vorliegenden Fall jedoch keiner abschließenden Entscheidung, da die Voraussetzungen einer Anscheinsvollmacht oder eines Handelns unter fremdem Namen bei der - hier zu unterstellenden - missbräuchlichen Nutzung von PIN und TAN im Online-Banking nicht vorliegen.

61

aa) Eine Anscheinsvollmacht setzt voraus, dass der Vertretene das Handeln des Scheinvertreters nicht kennt, er es aber bei pflichtgemäßer Sorgfalt hätte erkennen und verhindern können, und der Geschäftspartner annehmen durfte, der Vertretene kenne und billige das Handeln des Vertreters (st. Rspr., vgl. BGH, Urteile vom 10. Januar 2007 - VIII ZR 380/04, NJW 2007, 987 Rn. 25, vom 16. März 2006 - III ZR 152/05, BGHZ 166, 369 Rn. 17 und vom 11. Mai 2011 - VIII ZR 289/09, BGHZ 189, 346 Rn. 16 jeweils mwN). Zudem ist im Grundsatz erforderlich, dass das Verhalten des Geschäftsherrn, aus dem der Geschäftsgegner auf die Bevollmächtigung des Dritten schließt, von einer gewissen Dauer und Häufigkeit ist (st. Rspr., vgl. BGH, Urteile vom 10. Januar 2007 - VIII ZR 380/04, NJW 2007, 987 Rn. 25, vom 16. März 2006 - III ZR 152/05, BGHZ 166, 369 Rn. 17 und vom 11. Mai 2011 - VIII ZR 289/09, BGHZ 189, 346 Rn. 16 jeweils mwN).

62

Diese Voraussetzungen sind vorliegend nicht erfüllt. Die Klägerin hat - nach dem hier zugrunde zu legenden Sachverhalt - nicht erkannt, dass ein Dritter und nicht der Kunde gehandelt hat. Zudem kommt lediglich ein einmaliger Missbrauch des Online-Bankings und kein Handeln von gewisser Dauer und Häufigkeit in Betracht.

63

bb) Die Beklagte haftet auch nicht wegen eines Handelns des unbekannten Dritten unter ihrem Namen in entsprechender Anwendung der für Anscheinsvollmachten geltenden Grundsätze.

64

Erweckt das verdeckte Handeln unter fremdem Namen bei dem Geschäftspartner den Eindruck, tatsächlich werde die Erklärung vom Namensträger abgegeben, und wird dadurch eine falsche Vorstellung von der Identität des Handelnden hervorgerufen, können die Grundsätze der Anscheinsvollmacht entsprechend anzuwenden sein (vgl. BGH, Urteil vom 3. März 1966 - II ZR 18/64, BGHZ 45, 193, 195 f. und vom 11. Mai 2011 - VIII ZR 289/09, BGHZ 189, 346 Rn. 12). Dies kann auch für Geschäfte gelten, die - vergleichbar der vorliegenden Konstellation - über das Internet abgewickelt werden (vgl. BGH, Urteil vom 11. Mai 2011, aaO Rn. 12; Palandt/Ellenberger, BGB, 75. Aufl., § 172 Rn. 18).

65

Der Geschäftsherr wird aber auch in diesem Fall nur verpflichtet, wenn er das Handeln des Scheinvertreters bei pflichtgemäßer Sorgfalt hätte erkennen und verhindern können und dieses Handeln von einer gewissen Dauer und Häufigkeit war (vgl. BGH, Urteil vom 11. Mai 2011 - VIII ZR 289/09, BGHZ 189, 346 Rn. 16). Beide Voraussetzungen sind nicht erfüllt, wenn lediglich ein einmaliger missbräuchlicher Kontozugriff in Betracht kommt, der - entsprechend dem auch hier zugrunde zu legenden Sachverhalt - von dem Zahlungsdienstnutzer erst im Nachhinein erkannt wurde.

66

2. Die Klage ist entgegen der Ansicht der Revisionserwiderung auch nicht nach § 675v Abs. 2 BGB als Schadensersatzanspruch begründet.

67

a) Tatsachen, die eine betrügerische Absicht oder ein grob fahrlässiges Verhalten der Beklagten belegen würden, sind von der Klägerin nicht vorgetragen und vom Berufungsgericht nicht festgestellt worden.

68

b) Es gibt auch keinen Erfahrungssatz, wonach bei einem Missbrauch des Online-Bankings bereits die korrekte Aufzeichnung der Nutzung eines Zahlungsauthentifizierungsinstruments und die beanstandungsfreie Prüfung der Authentifizierung für eine grob fahrlässige Pflichtverletzung des Zahlungsdienstnutzers sprechen, sodass sich der Zahlungsdienstleister für den ihm im Rahmen von § 675v Abs. 2 BGB obliegenden Nachweis auch nicht auf den Beweis des ersten Anscheins stützen kann.

69

aa) In Literatur und Rechtsprechung ist umstritten, ob bei missbräuchlicher Verwendung von PIN und TAN durch einen Dritten im Online-Banking ein Anscheinsbeweis für eine grob fahrlässige Pflichtverletzung des Zahlers in Anspruch genommen werden kann (mangels Typizität einen Anscheinsbeweis generell bezweifelnd: Erman/Graf von Westphalen, BGB, 14. Aufl., § 675w Rn. 21; Maihold in Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 4. Aufl., § 55 Rn. 166; Staudinger/Omlor, BGB, Neubearb. 2012, § 675w Rn. 10; Schulte am Hülse/Klabunde, MMR 2010, 84, 87; Spindler in Festschrift Nobbe, 2009, S. 215, 232; einen Anscheinsbeweis für einfache Fahrlässigkeit bejahend, für grobe Fahrlässigkeit verneinend: Grundmann, WM 2009, 1157, 1163; kein Anscheinsbeweis für eine grob fahrlässige Sorgfaltspflichtverletzung bei Anwendung des klassischen PIN/TAN-Verfahrens: LG Mannheim, WM 2008, 2015; Borges, BKR 2009, 85, 87; Dienstbach/Mühlenbrock, K&R 2008, 151, 154; Erfurth, WM 2006, 2198, 2206; Kind/Werner, CR 2006, 353, 359; Nobbe in Ellenberger/Findeisen/Nobbe, Kommentar zum Zahlungsverkehrsrecht, 2. Aufl., § 675w Rn. 52; Herresthal in Langenbucher/Bliesener/Spindler, Bankrechts-Kommentar, 2013, § 675w Rn. 15, der jedoch für das iTAN-, eTAN- und mTAN-Verfahren einen Anscheinsbeweis für grobe Fahrlässigkeit annimmt; kein Anscheinsbeweis bei Verwendung des mTAN-Verfahrens: LG Köln, WM 2014, 2372; einen Anscheinsbeweis allgemein bejahend: Bender, WM 2008, 2049, 2058; Bock in Neumann/Bock, Zahlungsverkehr im Internet, 2004, Rn. 183; Borges, BKR 2009, 85; van Gelder in Festschrift Nobbe, 2009, S. 55, 67; Gößmann/Bredenkamp in Festschrift Nobbe, 2009, S. 93, 110; Werner in Hoeren/Sieber/Holznagel, Hdb. Multimedia-Recht, Teil 13.5, Stand Juli 2013 Rn. 63; Wiesgickl, WM 2000, 1039, 1050).

70

bb) Der Senat entscheidet diesen Streit dahingehend, dass bei missbräuchlicher Verwendung von PIN und TAN im Online-Banking allein die Aufzeichnung der Nutzung eines Zahlungsauthentifizierungsinstruments und die Prüfung der Authentifizierung im Sinne von § 675w Satz 3 Nr. 4 BGB die Anwendung der Grundsätze des Anscheinsbeweises für eine grob fahrlässige Pflichtverletzung des Zahlers nicht rechtfertigen. Auch ein Anscheinsbeweis auf alternativer Grundlage, der Zahlungsdienstnutzer habe entweder den Zahlungsvorgang autorisiert oder aber grob fahrlässig gegen seine Pflichten aus § 675l BGB verstoßen, kommt deswegen nicht in Betracht.

71

(1) Grobe Fahrlässigkeit erfordert einen in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt (BGH, Urteile vom 30. Januar 2001 - VI ZR 49/00, NJW 2001, 2092, 2093, vom 11. Juli 2007 - XII ZR 197/05, NJW 2007, 2988 Rn. 15 und vom 10. Oktober 2013 - III ZR 345/12, BGHZ 198, 265 Rn. 26 mwN). Selbst ein objektiv grober Pflichtenverstoß rechtfertigt für sich noch keinen zwingenden Schluss auf ein entsprechend gesteigertes personales Verschulden (BGH, Urteile vom 30. Januar 2001 - VI ZR 49/00, NJW 2001, 2092, 2093 und vom 10. Oktober 2013 - III ZR 345/12, BGHZ 198, 265 Rn. 28).

72

(2) Es gibt keine die Grundsätze des Anscheinsbeweises stützende Erfahrungssätze, dass bei Aufzeichnung der fehlerfreien Nutzung eines Authentifizierungsinstruments ein Missbrauch des Online-Bankings auf einer solchen subjektiv unentschuldbaren Verletzung von Sorgfaltspflichten in besonders schwerem Maße durch den Zahlungsdienstnutzer beruhen würde oder dass in einem solchen Fall jedenfalls ein tatsächliches Verhalten des Zahlungsdienstnutzers belegt wäre, das als grob fahrlässig bewertet werden könnte.

73

(a) Die Regeln des Anscheinsbeweises sind auf den Nachweis der subjektiven Voraussetzungen grober Fahrlässigkeit grundsätzlich dann nicht anwendbar, wenn es sich - wie hier - um ein individuelles Versagen handelt (vgl. BGH, Urteile vom 21. April 1970 - VI ZR 226/68, VersR 1970, 568, vom 7. Mai 1974 - VI ZR 138/72, VersR 1974, 853, vom 29. Januar 2003 - IV ZR 173/01, NJW 2003, 1118, 1119 und vom 21. März 2007 - I ZR 166/04, NJW-RR 2007, 1630 Rn. 20; Bacher in BeckOK ZPO, Stand: 1. September 2015, § 284 ZPO Rn. 96; Staudinger/Georg Caspers, BGB, Neubearb. 2014, § 276 Rn. 97; Palandt/Grüneberg, BGB, 75. Aufl., § 277 Rn. 7; Leipold in Stein/Jonas, ZPO, 22. Aufl., § 286 Rn. 142; Saenger/Saenger, ZPO, 6. Aufl., § 286 Rn. 43). Dieser Grundsatz gilt auch, wenn der Missbrauch des Online-Bankings auf einem Umstand aus der Sphäre des Zahlungsdienstnutzers beruht. Denn ein objektiv grober Pflichtenverstoß rechtfertigt für sich allein noch nicht den Schluss auf ein gesteigertes personales Fehlverhalten, selbst wenn dieses in vergleichbaren Fällen häufig vorliegen sollte (vgl. dazu BGH, Urteile vom 12. Januar 1988 - VI ZR 158/87, NJW 1988, 1265, 1266 und vom 30. Januar 2001 - VI ZR 49/00, NJW 2001, 2092, 2093).

74

(b) Die Regeln des Anscheinsbeweises können aber auch nicht zum Nachweis der objektiven Voraussetzungen grober Fahrlässigkeit des Zahlungsdienstnutzers im Online-Banking herangezogen werden. Zwar ist der Anscheinsbeweis zum Nachweis grober Fahrlässigkeit grundsätzlich zulässig, wenn damit lediglich die Annahme eines bestimmten tatsächlichen Verhaltens gestützt werden soll und dieses erst in einem weiteren Schritt rechtlich als grob fahrlässig bewertet wird (vgl. Senatsurteil vom 5. Oktober 2004 - XI ZR 210/03, BGHZ 160, 308, 319).

75

Im Falle eines Missbrauchs des Online-Bankings gibt es aber keine Erfahrungssätze, die auf ein bestimmtes typisches Fehlverhalten des Zahlungsdienstnutzers hinweisen würden. Die Vielzahl von Authentifizierungsverfahren, die sich zum Teil erheblich im Sicherungskonzept und in dessen Ausgestaltung unterscheiden (vgl. Hoeren/Kairies, ZBB 2015, 35; Maihold in Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 4. Aufl., § 55 Rn. 7 ff.), können jeweils auf unterschiedliche Weise angegriffen werden, wozu wiederum verschiedene Pflichtverletzungen des Zahlungsdienstnutzers beitragen können, sodass - anders als bei Nutzung von Zahlungskarten an Geldautomaten (Senatsurteile vom 5. Oktober 2004 - XI ZR 210/03, BGHZ 160, 308, 317 f. und vom 29. November 2011 - XI ZR 370/10, WM 2012, 164 Rn. 16; Senatsbeschluss vom 6. Juli 2010 - XI ZR 224/09, WM 2010, 924 Rn. 10) - ein Missbrauch des Online-Bankings nicht auf ein bestimmtes Verhalten des Zahlungsdienstnutzers hinweist, das sodann als grob fahrlässig eingeordnet werden könnte.

IV.

76

Einer Vorlage an den Europäischen Gerichtshof zur Klärung der Frage, ob eine Anwendung der Regeln des Anscheinsbeweises bei Einsatz eines Zahlungsauthentifizierungsinstruments mit der Zahlungsdiensterichtlinie zu vereinbaren ist, bedarf es nicht, da nach den oben dargestellten Grundsätzen der Anscheinsbeweis im Online-Banking in Übereinstimmung mit Art. 59 Abs. 2 der Zahlungsdiensterichtlinie nicht ausschließlich an die genannte Dokumentation der Nutzung des Authentifizierungsverfahrens anknüpft und zudem keine zwingende Beweisregel zur Folge hat. Im Übrigen obliegt die Beweiswürdigung, zu der auch die Grundsätze des Anscheinsbeweises gehören, nach Erwägungsgrund 33 der Zahlungsdiensterichtlinie den Gerichten nach nationalem Recht.

V.

77

Der Zurückweisungsbeschluss ist deshalb aufzuheben (§ 562 Abs. 1 ZPO). Da die Sache nicht zur Endentscheidung reif ist, ist sie zur neuen Verhandlung und Entscheidung an das Berufungsgericht zurückzuverweisen (§ 563 Abs. 1 Satz 1 ZPO).

78

1. Dieses wird, wenn es die Grundsätze des Anscheinsbeweises anwenden will, ggf. nach Ergänzung des Vortrags der Klägerin zum verwendeten Sicherheitssystem mit sachverständiger Hilfe festzustellen haben, ob dieses nach heutigem Kenntnisstand im Zeitpunkt der Autorisierung des streitigen Zahlungsvorgangs im Allgemeinen praktisch unüberwindbar war und dieses Sicherheitsniveau auch im vorliegenden Fall bei Vornahme der strittigen Überweisung trotz der technischen Schwierigkeiten im EDV-System der Klägerin gewahrt worden ist.

79

a) Sollte das Ergebnis dieser Beweiserhebung nach Auffassung des Berufungsgerichts eine Anwendung des Anscheinsbeweises für die Autorisierung der Überweisung durch die Beklagte rechtfertigen, werden die von der Beklagten zu dessen Erschütterung angebotenen Beweise zu erheben sein. Dabei kann nach den Grundsätzen der sekundären Darlegungslast der Zahlungsdienstleister - hier die Klägerin - im Rahmen des Zumutbaren (Senatsurteil vom 5. Oktober 2004 - XI ZR 210/03, BGHZ 160, 308, 320) gehalten sein, das verwendete Sicherheitssystem und eventuell bestehende weitere Sicherheitsvorkehrungen darzustellen, soweit dies nicht bereits im Rahmen der Begründung des Anscheinsbeweises geschehen ist. Dadurch soll der Zahler in die Lage versetzt werden, Beweis für von ihm vermutete konkrete Sicherheitsmängel antreten zu können (vgl. BGH, Urteile vom 15. Mai 2003 - III ZR 7/02, juris Rn. 15 und vom 5. Oktober 2004 - XI ZR 210/03, BGHZ 160, 308, 320). Der Zahlungsdienstleister wird weiter auf Grundlage des Girovertrags in seinem Besitz befindliche technische Aufzeichnungen, die die streitigen sowie im selben Zeitraum ausgeführte Zahlungsvorgänge betreffen oder hierüber Aufschluss geben können, bis zur Klärung der Angelegenheit aufzuheben und sie dem Zahler gegebenenfalls zugänglich zu machen haben (Senatsurteil vom 5. Oktober 2004 - XI ZR 210/03, BGHZ 160, 308, 320 mwN).

80

b) Dem steht ein allgemeines Interesse der Kreditwirtschaft an der Geheimhaltung von Sicherungssystemen nicht entgegen. Einem im konkreten Einzelfall bestehenden berechtigten Geheimhaltungsinteresse des betroffenen Kreditinstituts an den technischen Grundlagen des von ihm eingesetzten Sicherungssystems kann in einem gerichtlichen Verfahren dadurch Rechnung getragen werden, dass nach § 172 Nr. 2 GVG die Öffentlichkeit ausgeschlossen wird und nach § 174 Abs. 3 GVG die Verfahrensbeteiligten zur Verschwiegenheit verpflichtet werden (vgl. dazu BGH, Urteil vom 9. Dezember 2015 - IV ZR 272/15, juris Rn. 9 ff.).

81

2. Stattdessen bzw. bei einem Scheitern eines Anscheinsbeweises kann der Zahlungsdienstleister - hier die Klägerin - eine Autorisierung des Zahlungsauftrags durch den Zahler im Wege des Vollbeweises nachweisen. Insoweit hat die Klägerin auch Beweis angeboten. In diesem Fall wird der Zahlungsdienstnutzer nach den Grundsätzen der sekundären Darlegungslast zu allen ihm bekannten Umständen, die den streitigen Zahlungsvorgang und dessen Autorisierung betreffen, insbesondere zu den Sicherheitsvorkehrungen auf dem für das Online-Banking genutzten Rechner und dem Mobiltelefon sowie zur Notierung, Speicherung oder Weitergabe der PIN substantiiert vorzutragen haben.

Ellenberger                    Maihold                      Menges

                   Derstadt                      Dauber

(1) Beruhen nicht autorisierte Zahlungsvorgänge auf der Nutzung eines verloren gegangenen, gestohlenen oder sonst abhandengekommenen Zahlungsinstruments oder auf der sonstigen missbräuchlichen Verwendung eines Zahlungsinstruments, so kann der Zahlungsdienstleister des Zahlers von diesem den Ersatz des hierdurch entstandenen Schadens bis zu einem Betrag von 50 Euro verlangen.

(2) Der Zahler haftet nicht nach Absatz 1, wenn

1.
es ihm nicht möglich gewesen ist, den Verlust, den Diebstahl, das Abhandenkommen oder eine sonstige missbräuchliche Verwendung des Zahlungsinstruments vor dem nicht autorisierten Zahlungsvorgang zu bemerken, oder
2.
der Verlust des Zahlungsinstruments durch einen Angestellten, einen Agenten, eine Zweigniederlassung eines Zahlungsdienstleisters oder eine sonstige Stelle, an die Tätigkeiten des Zahlungsdienstleisters ausgelagert wurden, verursacht worden ist.

(3) Abweichend von den Absätzen 1 und 2 ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler

1.
in betrügerischer Absicht gehandelt hat oder
2.
den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung
a)
einer oder mehrerer Pflichten gemäß § 675l Absatz 1 oder
b)
einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments.

(4) Abweichend von den Absätzen 1 und 3 ist der Zahler seinem Zahlungsdienstleister nicht zum Schadensersatz verpflichtet, wenn

1.
der Zahlungsdienstleister des Zahlers eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht verlangt oder
2.
der Zahlungsempfänger oder sein Zahlungsdienstleister eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht akzeptiert.
Satz 1 gilt nicht, wenn der Zahler in betrügerischer Absicht gehandelt hat. Im Fall von Satz 1 Nummer 2 ist derjenige, der eine starke Kundenauthentifizierung nicht akzeptiert, verpflichtet, dem Zahlungsdienstleister des Zahlers den daraus entstehenden Schaden zu ersetzen.

(5) Abweichend von den Absätzen 1 und 3 ist der Zahler nicht zum Ersatz von Schäden verpflichtet, die aus der Nutzung eines nach der Anzeige gemäß § 675l Absatz 1 Satz 2 verwendeten Zahlungsinstruments entstanden sind. Der Zahler ist auch nicht zum Ersatz von Schäden im Sinne des Absatzes 1 verpflichtet, wenn der Zahlungsdienstleister seiner Pflicht gemäß § 675m Abs. 1 Nr. 3 nicht nachgekommen ist. Die Sätze 1 und 2 sind nicht anzuwenden, wenn der Zahler in betrügerischer Absicht gehandelt hat.

(1) Der Zahlungsdienstnutzer ist verpflichtet, unmittelbar nach Erhalt eines Zahlungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Er hat dem Zahlungsdienstleister oder einer von diesem benannten Stelle den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die sonstige nicht autorisierte Nutzung eines Zahlungsinstruments unverzüglich anzuzeigen, nachdem er hiervon Kenntnis erlangt hat. Für den Ersatz eines verlorenen, gestohlenen, missbräuchlich verwendeten oder sonst nicht autorisiert genutzten Zahlungsinstruments darf der Zahlungsdienstleister mit dem Zahlungsdienstnutzer ein Entgelt vereinbaren, das allenfalls die ausschließlich und unmittelbar mit dem Ersatz verbundenen Kosten abdeckt.

(2) Eine Vereinbarung, durch die sich der Zahlungsdienstnutzer gegenüber dem Zahlungsdienstleister verpflichtet, Bedingungen für die Ausgabe und Nutzung eines Zahlungsinstruments einzuhalten, ist nur insoweit wirksam, als diese Bedingungen sachlich, verhältnismäßig und nicht benachteiligend sind.

(1) Beruhen nicht autorisierte Zahlungsvorgänge auf der Nutzung eines verloren gegangenen, gestohlenen oder sonst abhandengekommenen Zahlungsinstruments oder auf der sonstigen missbräuchlichen Verwendung eines Zahlungsinstruments, so kann der Zahlungsdienstleister des Zahlers von diesem den Ersatz des hierdurch entstandenen Schadens bis zu einem Betrag von 50 Euro verlangen.

(2) Der Zahler haftet nicht nach Absatz 1, wenn

1.
es ihm nicht möglich gewesen ist, den Verlust, den Diebstahl, das Abhandenkommen oder eine sonstige missbräuchliche Verwendung des Zahlungsinstruments vor dem nicht autorisierten Zahlungsvorgang zu bemerken, oder
2.
der Verlust des Zahlungsinstruments durch einen Angestellten, einen Agenten, eine Zweigniederlassung eines Zahlungsdienstleisters oder eine sonstige Stelle, an die Tätigkeiten des Zahlungsdienstleisters ausgelagert wurden, verursacht worden ist.

(3) Abweichend von den Absätzen 1 und 2 ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler

1.
in betrügerischer Absicht gehandelt hat oder
2.
den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung
a)
einer oder mehrerer Pflichten gemäß § 675l Absatz 1 oder
b)
einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments.

(4) Abweichend von den Absätzen 1 und 3 ist der Zahler seinem Zahlungsdienstleister nicht zum Schadensersatz verpflichtet, wenn

1.
der Zahlungsdienstleister des Zahlers eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht verlangt oder
2.
der Zahlungsempfänger oder sein Zahlungsdienstleister eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht akzeptiert.
Satz 1 gilt nicht, wenn der Zahler in betrügerischer Absicht gehandelt hat. Im Fall von Satz 1 Nummer 2 ist derjenige, der eine starke Kundenauthentifizierung nicht akzeptiert, verpflichtet, dem Zahlungsdienstleister des Zahlers den daraus entstehenden Schaden zu ersetzen.

(5) Abweichend von den Absätzen 1 und 3 ist der Zahler nicht zum Ersatz von Schäden verpflichtet, die aus der Nutzung eines nach der Anzeige gemäß § 675l Absatz 1 Satz 2 verwendeten Zahlungsinstruments entstanden sind. Der Zahler ist auch nicht zum Ersatz von Schäden im Sinne des Absatzes 1 verpflichtet, wenn der Zahlungsdienstleister seiner Pflicht gemäß § 675m Abs. 1 Nr. 3 nicht nachgekommen ist. Die Sätze 1 und 2 sind nicht anzuwenden, wenn der Zahler in betrügerischer Absicht gehandelt hat.

Ist die Autorisierung eines ausgeführten Zahlungsvorgangs streitig, hat der Zahlungsdienstleister nachzuweisen, dass eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde. Eine Authentifizierung ist erfolgt, wenn der Zahlungsdienstleister die Nutzung eines bestimmten Zahlungsinstruments, einschließlich seiner personalisierten Sicherheitsmerkmale, mit Hilfe eines Verfahrens überprüft hat. Wurde der Zahlungsvorgang mittels eines Zahlungsinstruments ausgelöst, reicht die Aufzeichnung der Nutzung des Zahlungsinstruments einschließlich der Authentifizierung durch den Zahlungsdienstleister und gegebenenfalls einen Zahlungsauslösedienstleister allein nicht notwendigerweise aus, um nachzuweisen, dass der Zahler

1.
den Zahlungsvorgang autorisiert,
2.
in betrügerischer Absicht gehandelt,
3.
eine oder mehrere Pflichten gemäß § 675l Absatz 1 verletzt oder
4.
vorsätzlich oder grob fahrlässig gegen eine oder mehrere Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments verstoßen
hat. Der Zahlungsdienstleister muss unterstützende Beweismittel vorlegen, um Betrug, Vorsatz oder grobe Fahrlässigkeit des Zahlungsdienstnutzers nachzuweisen.

Der Schuldner hat ein Verschulden seines gesetzlichen Vertreters und der Personen, deren er sich zur Erfüllung seiner Verbindlichkeit bedient, in gleichem Umfang zu vertreten wie eigenes Verschulden. Die Vorschrift des § 276 Abs. 3 findet keine Anwendung.

(1) Der Zahlungsdienstleister, der ein Zahlungsinstrument ausgibt, ist verpflichtet,

1.
unbeschadet der Pflichten des Zahlungsdienstnutzers gemäß § 675l Absatz 1 sicherzustellen, dass die personalisierten Sicherheitsmerkmale des Zahlungsinstruments nur der zur Nutzung berechtigten Person zugänglich sind,
2.
die unaufgeforderte Zusendung von Zahlungsinstrumenten an den Zahlungsdienstnutzer zu unterlassen, es sei denn, ein bereits an den Zahlungsdienstnutzer ausgegebenes Zahlungsinstrument muss ersetzt werden,
3.
sicherzustellen, dass der Zahlungsdienstnutzer durch geeignete Mittel jederzeit die Möglichkeit hat, eine Anzeige gemäß § 675l Absatz 1 Satz 2 vorzunehmen oder die Aufhebung der Sperrung gemäß § 675k Absatz 2 Satz 5 zu verlangen,
4.
dem Zahlungsdienstnutzer eine Anzeige gemäß § 675l Absatz 1 Satz 2 kostenfrei zu ermöglichen und
5.
jede Nutzung des Zahlungsinstruments zu verhindern, sobald eine Anzeige gemäß § 675l Absatz 1 Satz 2 erfolgt ist.
Hat der Zahlungsdienstnutzer den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die sonstige nicht autorisierte Nutzung eines Zahlungsinstruments angezeigt, stellt sein Zahlungsdienstleister ihm auf Anfrage bis mindestens 18 Monate nach dieser Anzeige die Mittel zur Verfügung, mit denen der Zahlungsdienstnutzer beweisen kann, dass eine Anzeige erfolgt ist.

(2) Die Gefahr der Versendung eines Zahlungsinstruments und der Versendung personalisierter Sicherheitsmerkmale des Zahlungsinstruments an den Zahlungsdienstnutzer trägt der Zahlungsdienstleister.

(3) Hat ein Zahlungsdienstleister, der kartengebundene Zahlungsinstrumente ausgibt, den kontoführenden Zahlungsdienstleister des Zahlers um Bestätigung ersucht, dass ein für die Ausführung eines kartengebundenen Zahlungsvorgangs erforderlicher Betrag auf dem Zahlungskonto verfügbar ist, so kann der Zahler von seinem kontoführenden Zahlungsdienstleister verlangen, ihm die Identifizierungsdaten dieses Zahlungsdienstleisters und die erteilte Antwort mitzuteilen.

(1) Beruhen nicht autorisierte Zahlungsvorgänge auf der Nutzung eines verloren gegangenen, gestohlenen oder sonst abhandengekommenen Zahlungsinstruments oder auf der sonstigen missbräuchlichen Verwendung eines Zahlungsinstruments, so kann der Zahlungsdienstleister des Zahlers von diesem den Ersatz des hierdurch entstandenen Schadens bis zu einem Betrag von 50 Euro verlangen.

(2) Der Zahler haftet nicht nach Absatz 1, wenn

1.
es ihm nicht möglich gewesen ist, den Verlust, den Diebstahl, das Abhandenkommen oder eine sonstige missbräuchliche Verwendung des Zahlungsinstruments vor dem nicht autorisierten Zahlungsvorgang zu bemerken, oder
2.
der Verlust des Zahlungsinstruments durch einen Angestellten, einen Agenten, eine Zweigniederlassung eines Zahlungsdienstleisters oder eine sonstige Stelle, an die Tätigkeiten des Zahlungsdienstleisters ausgelagert wurden, verursacht worden ist.

(3) Abweichend von den Absätzen 1 und 2 ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler

1.
in betrügerischer Absicht gehandelt hat oder
2.
den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung
a)
einer oder mehrerer Pflichten gemäß § 675l Absatz 1 oder
b)
einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments.

(4) Abweichend von den Absätzen 1 und 3 ist der Zahler seinem Zahlungsdienstleister nicht zum Schadensersatz verpflichtet, wenn

1.
der Zahlungsdienstleister des Zahlers eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht verlangt oder
2.
der Zahlungsempfänger oder sein Zahlungsdienstleister eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht akzeptiert.
Satz 1 gilt nicht, wenn der Zahler in betrügerischer Absicht gehandelt hat. Im Fall von Satz 1 Nummer 2 ist derjenige, der eine starke Kundenauthentifizierung nicht akzeptiert, verpflichtet, dem Zahlungsdienstleister des Zahlers den daraus entstehenden Schaden zu ersetzen.

(5) Abweichend von den Absätzen 1 und 3 ist der Zahler nicht zum Ersatz von Schäden verpflichtet, die aus der Nutzung eines nach der Anzeige gemäß § 675l Absatz 1 Satz 2 verwendeten Zahlungsinstruments entstanden sind. Der Zahler ist auch nicht zum Ersatz von Schäden im Sinne des Absatzes 1 verpflichtet, wenn der Zahlungsdienstleister seiner Pflicht gemäß § 675m Abs. 1 Nr. 3 nicht nachgekommen ist. Die Sätze 1 und 2 sind nicht anzuwenden, wenn der Zahler in betrügerischer Absicht gehandelt hat.

(1) Allgemeine Geschäftsbedingungen sind alle für eine Vielzahl von Verträgen vorformulierten Vertragsbedingungen, die eine Vertragspartei (Verwender) der anderen Vertragspartei bei Abschluss eines Vertrags stellt. Gleichgültig ist, ob die Bestimmungen einen äußerlich gesonderten Bestandteil des Vertrags bilden oder in die Vertragsurkunde selbst aufgenommen werden, welchen Umfang sie haben, in welcher Schriftart sie verfasst sind und welche Form der Vertrag hat. Allgemeine Geschäftsbedingungen liegen nicht vor, soweit die Vertragsbedingungen zwischen den Vertragsparteien im Einzelnen ausgehandelt sind.

(2) Allgemeine Geschäftsbedingungen werden nur dann Bestandteil eines Vertrags, wenn der Verwender bei Vertragsschluss

1.
die andere Vertragspartei ausdrücklich oder, wenn ein ausdrücklicher Hinweis wegen der Art des Vertragsschlusses nur unter unverhältnismäßigen Schwierigkeiten möglich ist, durch deutlich sichtbaren Aushang am Ort des Vertragsschlusses auf sie hinweist und
2.
der anderen Vertragspartei die Möglichkeit verschafft, in zumutbarer Weise, die auch eine für den Verwender erkennbare körperliche Behinderung der anderen Vertragspartei angemessen berücksichtigt, von ihrem Inhalt Kenntnis zu nehmen,
und wenn die andere Vertragspartei mit ihrer Geltung einverstanden ist.

(3) Die Vertragsparteien können für eine bestimmte Art von Rechtsgeschäften die Geltung bestimmter Allgemeiner Geschäftsbedingungen unter Beachtung der in Absatz 2 bezeichneten Erfordernisse im Voraus vereinbaren.

(1) Der Zahlungsdienstnutzer ist verpflichtet, unmittelbar nach Erhalt eines Zahlungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Er hat dem Zahlungsdienstleister oder einer von diesem benannten Stelle den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die sonstige nicht autorisierte Nutzung eines Zahlungsinstruments unverzüglich anzuzeigen, nachdem er hiervon Kenntnis erlangt hat. Für den Ersatz eines verlorenen, gestohlenen, missbräuchlich verwendeten oder sonst nicht autorisiert genutzten Zahlungsinstruments darf der Zahlungsdienstleister mit dem Zahlungsdienstnutzer ein Entgelt vereinbaren, das allenfalls die ausschließlich und unmittelbar mit dem Ersatz verbundenen Kosten abdeckt.

(2) Eine Vereinbarung, durch die sich der Zahlungsdienstnutzer gegenüber dem Zahlungsdienstleister verpflichtet, Bedingungen für die Ausgabe und Nutzung eines Zahlungsinstruments einzuhalten, ist nur insoweit wirksam, als diese Bedingungen sachlich, verhältnismäßig und nicht benachteiligend sind.

(1) Auf einen Geschäftsbesorgungsvertrag, der die Erbringung von Zahlungsdiensten zum Gegenstand hat, sind die §§ 663, 665 bis 670 und 672 bis 674 entsprechend anzuwenden, soweit in diesem Untertitel nichts Abweichendes bestimmt ist.

(2) Die Vorschriften dieses Untertitels sind auch auf einen Vertrag über die Ausgabe und Nutzung von E-Geld anzuwenden.

(3) Die Begriffsbestimmungen des Kreditwesengesetzes und des Zahlungsdiensteaufsichtsgesetzes sind anzuwenden.

(4) Die Vorschriften dieses Untertitels sind mit Ausnahme von § 675d Absatz 2 Satz 2 sowie Absatz 3 nicht auf einen Vertrag über die Erbringung von Kontoinformationsdiensten anzuwenden.

(1) Der Zahlungsdienstnutzer ist verpflichtet, unmittelbar nach Erhalt eines Zahlungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Er hat dem Zahlungsdienstleister oder einer von diesem benannten Stelle den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die sonstige nicht autorisierte Nutzung eines Zahlungsinstruments unverzüglich anzuzeigen, nachdem er hiervon Kenntnis erlangt hat. Für den Ersatz eines verlorenen, gestohlenen, missbräuchlich verwendeten oder sonst nicht autorisiert genutzten Zahlungsinstruments darf der Zahlungsdienstleister mit dem Zahlungsdienstnutzer ein Entgelt vereinbaren, das allenfalls die ausschließlich und unmittelbar mit dem Ersatz verbundenen Kosten abdeckt.

(2) Eine Vereinbarung, durch die sich der Zahlungsdienstnutzer gegenüber dem Zahlungsdienstleister verpflichtet, Bedingungen für die Ausgabe und Nutzung eines Zahlungsinstruments einzuhalten, ist nur insoweit wirksam, als diese Bedingungen sachlich, verhältnismäßig und nicht benachteiligend sind.

(1) Beruhen nicht autorisierte Zahlungsvorgänge auf der Nutzung eines verloren gegangenen, gestohlenen oder sonst abhandengekommenen Zahlungsinstruments oder auf der sonstigen missbräuchlichen Verwendung eines Zahlungsinstruments, so kann der Zahlungsdienstleister des Zahlers von diesem den Ersatz des hierdurch entstandenen Schadens bis zu einem Betrag von 50 Euro verlangen.

(2) Der Zahler haftet nicht nach Absatz 1, wenn

1.
es ihm nicht möglich gewesen ist, den Verlust, den Diebstahl, das Abhandenkommen oder eine sonstige missbräuchliche Verwendung des Zahlungsinstruments vor dem nicht autorisierten Zahlungsvorgang zu bemerken, oder
2.
der Verlust des Zahlungsinstruments durch einen Angestellten, einen Agenten, eine Zweigniederlassung eines Zahlungsdienstleisters oder eine sonstige Stelle, an die Tätigkeiten des Zahlungsdienstleisters ausgelagert wurden, verursacht worden ist.

(3) Abweichend von den Absätzen 1 und 2 ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler

1.
in betrügerischer Absicht gehandelt hat oder
2.
den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung
a)
einer oder mehrerer Pflichten gemäß § 675l Absatz 1 oder
b)
einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments.

(4) Abweichend von den Absätzen 1 und 3 ist der Zahler seinem Zahlungsdienstleister nicht zum Schadensersatz verpflichtet, wenn

1.
der Zahlungsdienstleister des Zahlers eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht verlangt oder
2.
der Zahlungsempfänger oder sein Zahlungsdienstleister eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht akzeptiert.
Satz 1 gilt nicht, wenn der Zahler in betrügerischer Absicht gehandelt hat. Im Fall von Satz 1 Nummer 2 ist derjenige, der eine starke Kundenauthentifizierung nicht akzeptiert, verpflichtet, dem Zahlungsdienstleister des Zahlers den daraus entstehenden Schaden zu ersetzen.

(5) Abweichend von den Absätzen 1 und 3 ist der Zahler nicht zum Ersatz von Schäden verpflichtet, die aus der Nutzung eines nach der Anzeige gemäß § 675l Absatz 1 Satz 2 verwendeten Zahlungsinstruments entstanden sind. Der Zahler ist auch nicht zum Ersatz von Schäden im Sinne des Absatzes 1 verpflichtet, wenn der Zahlungsdienstleister seiner Pflicht gemäß § 675m Abs. 1 Nr. 3 nicht nachgekommen ist. Die Sätze 1 und 2 sind nicht anzuwenden, wenn der Zahler in betrügerischer Absicht gehandelt hat.

Im Fall eines nicht autorisierten Zahlungsvorgangs hat der Zahlungsdienstleister des Zahlers gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte. Diese Verpflichtung ist unverzüglich, spätestens jedoch bis zum Ende des Geschäftstags zu erfüllen, der auf den Tag folgt, an welchem dem Zahlungsdienstleister angezeigt wurde, dass der Zahlungsvorgang nicht autorisiert ist, oder er auf andere Weise davon Kenntnis erhalten hat. Hat der Zahlungsdienstleister einer zuständigen Behörde berechtigte Gründe für den Verdacht, dass ein betrügerisches Verhalten des Zahlers vorliegt, schriftlich mitgeteilt, hat der Zahlungsdienstleister seine Verpflichtung aus Satz 2 unverzüglich zu prüfen und zu erfüllen, wenn sich der Betrugsverdacht nicht bestätigt. Wurde der Zahlungsvorgang über einen Zahlungsauslösedienstleister ausgelöst, so treffen die Pflichten aus den Sätzen 2 bis 4 den kontoführenden Zahlungsdienstleister.

*

(1) Eine Geldschuld ist während des Verzugs zu verzinsen. Der Verzugszinssatz beträgt für das Jahr fünf Prozentpunkte über dem Basiszinssatz.

(2) Bei Rechtsgeschäften, an denen ein Verbraucher nicht beteiligt ist, beträgt der Zinssatz für Entgeltforderungen neun Prozentpunkte über dem Basiszinssatz.

(3) Der Gläubiger kann aus einem anderen Rechtsgrund höhere Zinsen verlangen.

(4) Die Geltendmachung eines weiteren Schadens ist nicht ausgeschlossen.

(5) Der Gläubiger einer Entgeltforderung hat bei Verzug des Schuldners, wenn dieser kein Verbraucher ist, außerdem einen Anspruch auf Zahlung einer Pauschale in Höhe von 40 Euro. Dies gilt auch, wenn es sich bei der Entgeltforderung um eine Abschlagszahlung oder sonstige Ratenzahlung handelt. Die Pauschale nach Satz 1 ist auf einen geschuldeten Schadensersatz anzurechnen, soweit der Schaden in Kosten der Rechtsverfolgung begründet ist.

(6) Eine im Voraus getroffene Vereinbarung, die den Anspruch des Gläubigers einer Entgeltforderung auf Verzugszinsen ausschließt, ist unwirksam. Gleiches gilt für eine Vereinbarung, die diesen Anspruch beschränkt oder den Anspruch des Gläubigers einer Entgeltforderung auf die Pauschale nach Absatz 5 oder auf Ersatz des Schadens, der in Kosten der Rechtsverfolgung begründet ist, ausschließt oder beschränkt, wenn sie im Hinblick auf die Belange des Gläubigers grob unbillig ist. Eine Vereinbarung über den Ausschluss der Pauschale nach Absatz 5 oder des Ersatzes des Schadens, der in Kosten der Rechtsverfolgung begründet ist, ist im Zweifel als grob unbillig anzusehen. Die Sätze 1 bis 3 sind nicht anzuwenden, wenn sich der Anspruch gegen einen Verbraucher richtet.

(1) Wenn jede Partei teils obsiegt, teils unterliegt, so sind die Kosten gegeneinander aufzuheben oder verhältnismäßig zu teilen. Sind die Kosten gegeneinander aufgehoben, so fallen die Gerichtskosten jeder Partei zur Hälfte zur Last.

(2) Das Gericht kann der einen Partei die gesamten Prozesskosten auferlegen, wenn

1.
die Zuvielforderung der anderen Partei verhältnismäßig geringfügig war und keine oder nur geringfügig höhere Kosten veranlasst hat oder
2.
der Betrag der Forderung der anderen Partei von der Festsetzung durch richterliches Ermessen, von der Ermittlung durch Sachverständige oder von einer gegenseitigen Berechnung abhängig war.

Andere Urteile sind gegen eine der Höhe nach zu bestimmende Sicherheit für vorläufig vollstreckbar zu erklären. Soweit wegen einer Geldforderung zu vollstrecken ist, genügt es, wenn die Höhe der Sicherheitsleistung in einem bestimmten Verhältnis zur Höhe des jeweils zu vollstreckenden Betrages angegeben wird. Handelt es sich um ein Urteil, das ein Versäumnisurteil aufrechterhält, so ist auszusprechen, dass die Vollstreckung aus dem Versäumnisurteil nur gegen Leistung der Sicherheit fortgesetzt werden darf.