PIN – MDR-Blog

Montagsblog: Neues vom BGH

Dr. Klaus Bacher | 15. August 2025

Diese Woche geht es um die Sorgfaltspflichten eines Bankkunden bei Phishing-Angriffen.

Grob fahrlässige Weitergabe einer TAN
BGH, Urteil vom 22. Juli 2025 – XI ZR 107/24

Der XI. Zivilsenat stellt strenge Anforderungen an die Sorgfaltspflichten bei Online-Überweisungen.

Die Kläger führen bei der beklagten Sparkasse ein gemeinsames Girokonto. Seit 2014 nutzen sie das Online-Banking mit persönlichem Anmeldenamen, PIN und chipTAN-Generator.

An einem Samstag im Juli 2022 versuchte die Klägerin mehrfach, ihre PIN zu ändern. Der TAN-Generator zeigte jeweils die Meldung „Vorgang abgebrochen“. Bei einem weiteren Versuch gegen 22:30 Uhr öffnete sich ein Fenster mit dem Hinweis, der Online-Banking-Zugang werde binnen eines Tages ablaufen, wenn nicht eine neue Sicherheitssoftware installiert werde. Die Klägerin klickte auf diese Meldung und gab in einen sich darauf öffnenden Fenster persönliche Daten ein. Wenige Augenblicke später erhielt sie einen Telefonanruf. Auf dem Display wurde die Telefonnummer der Beklagten angezeigt. Die Anruferin stellte sich als Mitarbeiterin der Beklagten vor und erkundigte sich, was los sei. Auf Nachfrage erklärte sie, die Mitarbeiter im Online-Banking seien rund um die Uhr für die Kunden da. Im weiteren Verlauf erfragte sie mehrere Zahlenfolgen, darunter auch mehrere TANs, die die Klägerin gemäß den Anweisungen der Anruferin auf der Grundlage von manuellen Eingaben von Empfänger-IBANs und Überweisungsbeträgen generierte. Bei einer verabredeten Fortsetzung des Gesprächs am Folgetag gab die Klägerin weitere TANs weiter. Mit diesen wurde das Überweisungslimit auf 55.555 Euro erhöht und ein Betrag von 35.555 Euro auf das Konto einer unbekannten Person bei einer anderen Bank überwiesen.

Das LG hat die Beklagte antragsgemäß zur Rückbuchung des überwiesenen Betrags verurteilt. Das OLG hat die Klage abgewiesen.

Die (vom BGH zugelassene) Revision der Kläger bleibt ohne Erfolg.

Rechtsfehlerfrei hat das OLG angenommen, dass die Belastung des Kontos auf einem nicht autorisierten Zahlungsvorgang beruht und den Klägern deshalb gemäß § 675u Satz 2 BGB ein Anspruch auf Erstattung des Überweisungsbetrags zusteht.

Ebenfalls rechtsfehlerfrei hat das OLG entschieden, dass die Beklagte diesem Anspruch einen Schadensersatzanspruch aus § 675v Abs. 3 Nr. 2 BGB entgegenhalten kann.

Nach § 675v Abs. 3 Nr. 2 BGB ist der Zahler dem Zahlungsdienstleister zum Ersatz des Schadens aus einem nicht autorisierten Zahlungsvorgang verpflichtet, wenn er den Schaden durch vorsätzliche oder grob fahrlässige Verletzung von Pflichten zum Schutz vor unbefugtem Zugriff (§ 675l Abs. 1 BGB) oder von Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments herbeigeführt hat.

Die Annahme des OLG, die Klägerin habe im Streitfall grob fahrlässig gehandelt, ist aus Rechtsgründen nicht zu beanstanden.

Das OLG hat seine Entscheidung entscheidend darauf gestützt, der Klägerin hätte es sich jedenfalls bei dem zweiten Telefonat aufdrängen müssen, dass die mehrfache Eingabe von Überweisungsdaten und die Weitergabe von TANs zur Installation einer neuen Software nicht erforderlich sein kann.

Dem kann nicht entgegengehalten werden, dass es sich nur um ein Augenblicksversagen gehandelt hätte. Die entscheidende Sorgfaltspflichtverletzung fand erst beim zweiten Telefonat statt, also fast einen Tag nach der ersten Kontaktaufnahme.

Grobe Fahrlässigkeit ist auch nicht deshalb zu verneinen, weil die Klägerin mit der Erzeugung von TANs auf der Grundlage manueller Eingaben nicht vertraut war. Das OLG hat rechtsfehlerfrei angenommen, dass sich der Klägerin auch ohne diesbezügliche Erfahrungen aufdrängen musste, dass sie durch Bedienung des TAN-Generators eine TAN zur Bestätigung eines konkreten Zahlungsvorgangs erzeugt.

Vor diesem Hintergrund vermag der Umstand, dass auf dem Display die Telefonnummer der Beklagten angezeigt wurde, den Vorwurf der groben Fahrlässigkeit nicht zu entkräften.

Der Gegenanspruch der Beklagten ist auch nicht deshalb ausgeschlossen, weil die Beklagte zur Anmeldung im Online-Banking keine Zweifaktor-Authentifizierung (starke Authentifizierung im Sinne von § 1 Abs. 24 des Zahlungsdiensteaufsichtsgesetzes) verlangt, sondern die Eingabe von Benutzername und PIN genügen lässt. Ein Schadensersatzanspruch ist nach § 675v Abs. 4 Satz 1 Nr. 1 BGB nur dann ausgeschlossen, wenn für den jeweiligen Zahlungsvorgang keine starke Authentifizierung verlangt wird. Das für Überweisungen geltende zusätzliche Erfordernis einer mittels TAN-Generator erzeugten TAN genügt den Anforderungen an eine starke Authentifizierung.

Ebenfalls rechtsfehlerfrei hat das OLG angesichts der aufgezeigten Umstände des Streitfalls eine Anspruchsminderung nach § 254 BGB abgelehnt.

Praxistipp: Die Entscheidung zeigt eindrücklich: Eine TAN darf niemals an Dritte weitergegeben werden – auch wenn es sich (vermeintlich) um einen Mitarbeiter der Bank handelt und (vermeintlich) größter Zeitdruck besteht.

Montagsblog: Neues vom BGH

Dr. Klaus Bacher | 3. März 2024

Diese Woche geht es um die Voraussetzungen einer Ersatzeinreichung.

Glaubhaftmachung technischer Probleme bei beA
BGH, Beschluss vom 17. Januar 2024 – XII ZB 88/23

Kurz nach dem Anwaltssenat, dessen Entscheidung im Anwaltsblog 8/2024 vorgestellt wird, hat sich auch der XII. Zivilsenat mit den Anforderungen aus § 130d ZPO befasst.

Die Antragstellerin begehrt Zugewinnausgleich. Das AG hat ihrem Antrag nur teilweise stattgegeben. Dagegen legte sie durch ihren Verfahrensbevollmächtigten fristgerecht Beschwerde ein. Einige Tage vor Ablauf der Frist übermittelte die Antragstellerin, die sich nunmehr als Rechtsanwältin selbst vertritt, per Telefax eine Beschwerdebegründung und einen Schriftsatz, in dem sie darlegte, weshalb sie die Begründung nicht über beA eingereicht hat. Das OLG hat die hilfsweise begehrte Wiedereinsetzung versagt und die Beschwerde als unzulässig verworfen.

Die Rechtsbeschwerde der Antragstellerin bleibt ohne Erfolg.

Nach der inzwischen gefestigten Rechtsprechung des BGH setzt die Glaubhaftmachung einer vorübergehenden Unmöglichkeit der Einreichung eines Schriftsatzes als elektronisches Dokument eine aus sich heraus verständliche, geschlossene Schilderung der tatsächlichen Abläufe oder Umstände voraus, deren Richtigkeit der Rechtsanwalt unter Bezugnahme auf seine Standespflichten anwaltlich versichern muss.

Bei einer Störung des beA-Servers oder des Servers für das elektronische Gerichts- und Verwaltungspostfach (EGVP) des Empfängergerichts kann hierfür die Bezugnahme auf Screenshots mit entsprechenden Fehlermeldungen der Bundesrechtsanwaltskammer oder des EGVP-Betreibers genügen. Bei Fehlern, die ihre Ursache im Verantwortungsbereich des Absenders haben, ist hingegen eine detailliertere Darstellung erforderlich.

Im Streitfall hat die Antragstellerin im Wesentlichen vorgetragen, der Fehlbedienungszähler ihrer beA-Karte sei abgelaufen gewesen und sie habe deshalb eine neue beA-Karte beantragen müssen, deren Lieferung ein bis zwei Wochen in Anspruch nehmen könne. Diesem Vorbringen lässt sich nicht hinreichend deutlich entnehmen, ob eine technische Unmöglichkeit im Sinne von § 130d Satz 2 ZPO oder ein schlichter Anwenderfehler vorlag. Eine vollständige Darlegung hätte zumindest Ausführungen dazu erfordert, weshalb ein Zurücksetzen des Fehlbedienungszählers mit Hilfe des hierfür vorgesehenen PUK (Personal Unblocking Key) nicht möglich war.

Praxistipp: Um bei „unerklärlichen“ Fehlern mit der beA-Karte dennoch Schriftsätze wirksam einreichen zu können, empfiehlt sich der zusätzliche Erwerb eines Softwarezertifikats. Dieses kann zwar nicht für eine qualifizierte elektronische Signatur eingesetzt werden, wohl aber für den Versand auf einem sicheren Übermittlungsweg – und für den mobilen Zugriff auf das beA-Postfach.

Anwaltsblog: Welche Folgen hat die Überlassung von Chipkarte und PIN durch den Rechtsanwalt an Mitarbeiter?

Hans Christian Schwenker | 15. Oktober 2023

Es soll nicht unüblich sein, dass Rechtsanwälte ihre beA-Chipkarte und den dazugehörigen PIN Mitarbeitern überlassen, um sich die Mühen der Versendung von (fristgebundenen) Schriftsätzen auf dem sicheren Übermittlungsweg (§ 130a Abs. 3 ZPO) zu ersparen. Welche Folgen das für Wiedereinsetzungsverfahren hat, wenn es bei der Übermittlung zu Fehlern kommt und dadurch Fristen nicht gewahrt werden, hatte der BGH in einem Dieselfall zu entscheiden.

Die Anforderungen an das besondere elektronische Anwaltspostfach nach §§ 31a und 31b BRAO sind in der RAVPV (Verordnung über die Rechtsanwaltsverzeichnisse und die besonderen elektronischen Anwaltspostfächer) geregelt. Nach § 26 Abs. 1 RAVPV darf der Inhaber eines für ihn erzeugten Zertifikats (Chipkarte) dieses keiner anderen Person überlassen, die dem Zertifikat zugehörige Zertifikats-PIN muss geheim gehalten werden. Erfolgt der Zugang zum Anwaltspostfach verbotswidrig durch eine andere Person, z.B. durch ermächtigten Kanzleimitarbeiter, sind die damit vorliegenden Erklärungen eines Unbefugten zwar formgerecht. Über die Folgen einer verbotswidrigen Nutzung hat 2022 höchstrichterlich erstmalig das BSG entschieden. Danach muss sich ein Inhaber eines besonderen elektronischen Anwaltspostfachs, setzt er sich über die Verpflichtung zur ausschließlich eigenen – höchstpersönlichen – Nutzung durch Überlassung des nur für seinen Zugang erzeugten Zertifikats und der dazugehörigen Zertifikats-PIN an Dritte oder auf andere Weise bewusst hinweg, das von einem Dritten abgegebene elektronische Empfangsbekenntnis auch dann wie ein eigenes zurechnen lassen, wenn die Abgabe ohne seine Kenntnis erfolgt ist. Bis zur Einführung des elektronischen Rechtsverkehrs waren die beteiligten Rechtsanwälte wie der Rechtsverkehr geschützt durch das Schriftformerfordernis und die daraus abgeleiteten Anforderungen an die höchstpersönliche und eigenhändige Unterschriftsleistung. Im elektronischen Rechtsverkehr ist dies abgelöst durch die Sicherungen entweder der qualifizierten elektronischen Signatur oder der vom Gesetzgeber im Interesse einer gesteigerten Akzeptanz der elektronischen Kommunikation begründeten Möglichkeit der Übermittlung von Dokumenten aus besonderen elektronischen Anwaltspostfächern. Im Interesse des Rechtsverkehrs an der strikten Verlässlichkeit der mit einem elektronischen Empfangsbekenntnis abgegebenen Erklärung kann sich ein Postfachinhaber deshalb nicht auf die Unbeachtlichkeit von Erklärungen berufen, die er unter Verstoß gegen die Sicherheitsanforderungen des elektronischen Rechtsverkehrs selbst ermöglicht hat. Verhält es sich so, hat er sich eine von Dritten abgegebene Erklärung vielmehr so zurechnen lassen, als habe er sie selbst abgegeben und im Vorhinein – durch die nicht vorgesehene Eröffnung der Nutzungsmöglichkeit für den Dritten – autorisiert (BSG, Urteil vom 14. Juli 2022 – B 3 KR 2/21 R –, juris Rn. 15). Dem schließt sich nunmehr der BGH für den Zivilprozess an: „Handelt der Inhaber eines besonderen elektronischen Anwaltspostfachs dem (= § 26 Abs. 1 RAVPV) zuwider und überlässt er das nur für seinen Zugang erzeugte Zertifikat und die zugehörige Zertifikats-PIN einem Dritten, muss er sich so behandeln lassen, als habe er die übermittelte Erklärung selbst abgegeben.“ Dies hat zur Folge, dass der Rechtsanwalt sich nicht damit entlasten kann, die in Frage stehende Sorgfaltspflichtverletzung sei einer erfahrenen und regelmäßig kontrollierten Mitarbeiterin unterlaufen, so dass ihn kein Verschulden träfe. Dazu hält der BGH erneut fest: Auch bei der Nutzung des beA ist es unerlässlich, den Versandvorgang zu überprüfen. Die Kontrollpflichten umfassen dabei die Überprüfung der nach § 130a Abs. 5 Satz 2 ZPO übermittelten automatisierten Eingangsbestätigung des Gerichts. Sie erstrecken sich u.a. darauf, ob die Übermittlung vollständig und an den richtigen Empfänger erfolgt ist. Dabei ist für das Vorliegen einer Eingangsbestätigung gemäß § 130a Abs. 5 Satz 2 ZPO auch erforderlich, dass gerade der Eingang des elektronischen Dokuments im Sinne von § 130a Abs. 1 ZPO, das übermittelt werden sollte, bestätigt wird. Die Bestätigung der Versendung irgendeiner Nachricht oder irgendeines Schriftsatzes genügt nicht. Vielmehr ist anhand des zuvor sinnvoll vergebenen Dateinamens auch zu prüfen, ob sich die automatisierte Eingangsbestätigung auf die Datei mit dem Schriftsatz bezieht, dessen Übermittlung erfolgen sollte. Dies rechtfertigt sich daraus, dass bei einem Versand über beA – anders als bei einem solchen über Telefax – eine Identifizierung des zu übersendenden Dokuments nicht mittels einfacher Sichtkontrolle möglich ist und deshalb eine Verwechslung mit anderen Dokumenten, deren Übersendung nicht beabsichtigt ist, nicht von vornherein ausgeschlossen werden kann.
(BGH, Beschluss vom 31. August 2023 – VIa ZB 24/22).

Fazit: Will der Rechtsanwalt die Übermittlung über beA nicht selbst vornehmen, muss er den Schriftsatz, den dann Mitarbeiter übermitteln können, zuvor qualifiziert signieren (§ 130a Abs. 3 ZPO). Durch die qualifizierte Signatur ist sichergestellt, dass eine anwaltliche Kontrolle stattfindet.