WIe sieht es denn mit der Haftung aus?
Wenn das tatsächlich einer aushebelt, und ich als User habe nix fahrlässig falsch gemacht, ist dann nicht die Bank in Haftung?
Dafür muss auf jeden Fall die Bank haften.
Interessanter ist, wer die Beweislast trägt?
Ich schmeiß' mal etwas mit Paragraphen um mich:
Haftung
Grundsätzlich muss die Bank dem Kunden den entstandenen Schaden unverzüglich und vollständig ersetzen. Eine Ausnahme greift nur bei Verdacht auf betrügerisches Verhalten des Kunden (§ 675u BGB).
Andererseits hat möglicherweise auch die Bank einen Anspruch auf Schadenersatz gegen den Kunden (§ 675v BGB). Dieser Anspruch ist zunächst auf höchstens 50 EUR begrenzt und fällt unter gewissen Umständen ganz weg.
Hat der Kunde aber in betrügerischer Absicht gehandelt oder vorsätzlich oder grob fahrlässig seine (Sorgfalts-)Pflichten bzw. die Nutzungsbedingungen verletzt, ist er seinerseits der Bank zum Ersatz des gesamten Schadens verpflichtet. In dem Fall werden die (im Prinzip gleich hohen) wechselseitigen Ansprüche gegeneinander aufgerechnet (§ 387 BGB) und keiner bekommt etwas vom anderen. Der Kunde sieht sein Geld in diesen Fällen aber i.d.R. auch nicht wieder.
Natürlich gibt's wie so oft noch Ausnahmen und wiederum Ausnahmen von den Ausnahmen usw.
Beweislast
Hier wird's richtig knifflig. Über die Verteilung der Beweislast zwischen den streitenden Parteien entscheidet § 675w BGB und das ist so ein richtig schöner nichtssagender "Gummi-Paragraph".
Nach dessen Wortlaut reicht im Streitfall der Nachweis der Nutzung der richtigen Authentifizierung allein nicht notwendigerweise aus, um einerseits eine Autorisierung durch den Kunden oder aber andererseits eine Pflichtverletzung oder Verschulden des Kunden nachzuweisen.
Ja gut, das macht Sinn ist aber zugleich eine Selbstverständlichkeit und hilft keinem weiter. Im Umkehrschluss könnte es nämlich genauso gut bedeuten: Der Nachweis kann durchaus ausreichen, womit wir dann beim sogenannten Anscheinsbeweis angekommen wären.
Auf diesen Anscheinsbeweis haben sich die Banken auch gestützt. Argumentation: Da sich die PIN nur im Besitz des Kunden befindet und die Verfügung auch nur möglich ist, wenn er eine TAN erhalten und eingesetzt hat, wird unterstellt, dass er die Verfügung auch tatsächlich selbst getätigt haben muss. Und schon ist man fertig.
Es wurde also zugunsten der Bank unterstellt, dass das PIN/TAN-System sicher ist und der Kunde durfte dann diesen Anscheinsbeweis erschüttern, indem er einen Ablauf darstellt, der die Möglichkeit nahelegt, dass Dritte missbräuchlich auf sein Konto zugegriffen haben. Kurzum: Der Kunde solle doch bitte beweisen, dass er betrogen wurde.
Der Bundesgerichtshof hat dem jedoch vor einigen Jahren einen Riegel vorgeschoben und gewissermaßen für eine Art "Beweislastumkehr" gesorgt (BGH, Urteil vom 26.01.2016, XI ZR 91/14). Danach kann der Anscheinsbeweis zwar auch weiterhin geführt werden, aber nur wenn geklärt ist, dass das im konkreten Fall eingesetzte Autorisierungsverfahren zum Zeitpunkt der strittigen Transaktion praktisch unüberwindbar war und fehlerfrei funktioniert hat.
Nach meiner laienhaften Auffassung muss also nun nicht mehr der Kunde (zwingend) beweisen, dass er betrogen wurde, sondern die Bank muss im ersten Schritt beweisen, dass der Kunde nicht betrogen wurde bzw. nicht betrogen werden konnte.
Aber Vorsicht, denn ich selber habe eigentlich nicht wirklich Ahnung, sondern bestenfalls angestaubtes und gefährliches Halbwissen.
