Nachfolgend ein Beitrag vom 23.5.2017 von Blissenbach, jurisPR-BKR 5/2017 Anm. 3
Leitsätze
1. Bei dem Nachweis der Autorisierung eines Zahlungsvorgangs mittels eines Zahlungsauthentifizierungsinstruments ist nach § 675w Satz 3 BGB Voraussetzung einer Anwendung der Grundsätze des Anscheinsbeweises, dass auf Grundlage aktueller Erkenntnisse die allgemeine praktische Unüberwindbarkeit des eingesetzten Sicherungsverfahrens sowie dessen ordnungsgemäße Anwendung und fehlerfreie Funktion im konkreten Einzelfall feststehen.
2. Der Zahlungsdienstnutzer muss zur Erschütterung eines für die Autorisierung eines Zahlungsauftrags sprechenden Anscheinsbeweises keinen konkreten und erfolgreichen Angriff gegen das Authentifizierungsinstrument vortragen und beweisen, sondern kann sich auch auf außerhalb des Sicherheitssystems des Zahlungsdienstleisters liegende Umstände stützen, die für einen nicht autorisierten Zahlungsvorgang sprechen.
3. Es gibt keinen einen Anscheinsbeweis rechtfertigenden Erfahrungssatz, dass bei einem Missbrauch des Online-Bankings, wenn die Nutzung eines Zahlungsauthentifizierungsinstruments korrekt aufgezeichnet worden und die Prüfung der Authentifizierung beanstandungsfrei geblieben ist, eine konkrete grob fahrlässige Pflichtverletzung des Zahlungsdienstnutzers nach § 675v Abs. 2 BGB vorliegt.
4. Zur Anwendbarkeit der Grundsätze der Anscheinsvollmacht und eines Handelns unter fremdem Namen bei einem Missbrauch des Online-Bankings.
A. Problemstellung
Der BGH hat mit der vorliegenden Entscheidung die Position von Bankkunden beim Online-Banking gestärkt. Er formulierte hohe Anforderungen an die Annahme eines Anscheinsbeweises im Online-Banking zugunsten der Bank für den Fall, dass streitig ist, ob der Kontoinhaber selbst oder eine andere Person ohne sein Wissen eine Online-Überweisung in Auftrag gegeben hat. Dem Kontoinhaber darf auch nicht ohne weiteres ein grob fahrlässiges Verhalten unterstellt werden.
Auch wenn es – wie in dem der Besprechungsentscheidung zugrunde liegenden Fall – danach aussieht, dass sich der Kunde im Rahmen des sog. smsTAN-Verfahrens mit gültiger PIN- und TAN-Nummer identifiziert hat, muss demnach – zusätzlich – geklärt sein, dass das konkret genutzte Sicherungssystem zum Zeitpunkt der Vornahme der Überweisung allgemein praktisch nicht zu überwinden war, im konkreten Einzelfall ordnungsgemäß angewendet wurde und fehlerfrei funktioniert hat. Ob dies der Fall war, war in den Vorinstanzen nicht geklärt bzw. festgestellt worden, so dass die Sache vom BGH an das Berufungsgericht zurückverwiesen wurde.
B. Inhalt und Gegenstand der Entscheidung
Die beklagte GmbH unterhielt bei der klagenden Sparkasse ein Geschäftsgirokonto, mit dem sie seit März 2011 am Online-Banking teilnahm. Der Geschäftsführer der Beklagten erhielt dazu eine persönliche Identifikationsnummer (PIN), mit der er auf das Geschäftsgirokonto zugreifen konnte. Zur Freigabe einzelner Zahlungsvorgänge wurde das smsTAN-Verfahren (Übermittlung der Transaktionsnummer durch sms) über eine Mobilfunknummer vereinbart, die einer SIM-Karte zugewiesen war, die nach Angaben der Beklagten in einem grundsätzlich im Gewahrsam des Geschäftsführers der Beklagten befindlichen Mobiltelefon betrieben wurde. Nachdem es zu Störungen im Online-Banking-System der Klägerin gekommen war, wurden am 15.07.2011 aus nicht geklärten Umständen dem Geschäftskonto der Beklagten fehlerhaft Beträge von 47.498,95 Euro und 191.576,25 Euro gutgeschrieben. Die Klägerin veranlasste am 15. und 17.07.2011 entsprechende Stornierungen, die aufgrund des Wochenendes erst am Montag, dem 18.07.2011, ausgeführt wurden. Am Freitag, dem 15.07.2011, um 23:29 Uhr, wurde unter Verwendung der zutreffenden PIN und einer gültigen smsTAN eine Überweisung von 235.000 Euro vom Konto der Beklagten zugunsten des Streithelfers der Klägerin – eines Rechtsanwalts – in das Online-Banking-System der Klägerin eingegeben; als Verwendungszweck wurde angegeben: „M.B.“, der Name des Geschäftsführers der Beklagten. Der streithelfende Rechtsanwalt behauptete, ihm habe eine schriftliche Weisung des Geschäftsführers der Beklagten vorgelegen, aufgrund der er den erhaltenen Betrag sodann auf ein ihm mitgeteiltes Konto weitergeleitet habe; im Übrigen berief er sich auf seine anwaltliche Schweigepflicht.
Die streitbefangene Überweisung von 235.000 Euro wurde am Montagmorgen, dem 18.07.2011, mit dem ersten Buchungslauf ausgeführt. Da zeitgleich die fehlerhaften Gutschriften berichtigt wurden, ergab sich ein Sollbetrag auf dem Geschäftskonto der Beklagten. Nachdem die Klägerin die Beklagte erfolglos zum Ausgleich des Kontos aufgefordert hatte, kündigte sie die Geschäftsbeziehung fristlos und forderte mit der vorliegenden Klage Zahlung des Schluss-Saldos von 236.422,14 Euro nebst Zinsen.
Die Klage hatte in beiden Tatsacheninstanzen Erfolg, und zwar vor dem LG Lübeck (Urt. v. 07.06.2013 – 3 O 418/12) als auch vor dem OLG Schleswig (Beschl. v. 22.01.2014 – 5 U 87/13).
Auf die Revision der Beklagten hat der BGH das Berufungsurteil aufgehoben und die Sache zur erneuten Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen.
Nach Auffassung des BGH hat das ausführende Kreditinstitut (Zahlungsdienstleister), wenn die Zustimmung (Autorisierung) des Kontoinhabers zu einem Zahlungsvorgang streitig ist, bei Verwendung eines Zahlungsauthentifizierungsinstruments (hier das Online-Banking-Verfahren) nach § 675w Satz 2 BGB nachzuweisen, dass dieses einschließlich seiner personalisierten Sicherheitsmerkmale (hier: PIN und smsTAN) genutzt und dies mithilfe eines Verfahrens überprüft worden ist. Diesen Nachweis habe die klagende Bank nach den bindenden Feststellungen des Berufungsgerichts geführt.
Dies genüge aber nach § 675w Satz 3 BGB „nicht notwendigerweise“, um den dem Zahlungsdienstleister obliegenden Beweis der Autorisierung des Zahlungsvorganges durch den Zahlungsdienstnutzer zu führen. Zusätzliche Voraussetzung für die Anwendung der Grundsätze des Anscheinsbeweises im Online-Banking sei nämlich die Feststellung eines allgemein praktisch nicht zu überwindenden, im konkreten Einzelfall ordnungsgemäß angewendeten und fehlerfrei funktionierenden Sicherheitssystems. Dazu habe das Berufungsgericht keine Feststellungen getroffen; Funktionsweise und allgemeine praktische Unüberwindbarkeit des hier verwendeten smsTAN-Verfahrens seien weder substantiiert dargelegt noch seien dazu Beweise erhoben worden. Weiter fehle die notwendige Klärung, ob das vom Zahlungsdienstleister konkret genutzte Sicherheitssystem im Zeitpunkt der Vornahme des streitigen Zahlungsvorgangs ein ausreichendes Sicherheitsniveau für die Anwendung des Anscheinsbeweises geboten habe; diese Prüfung müsse auf Grundlage des neuesten Stands der Erfahrung erfolgen. Diese Klärung sah der BGH als erforderlich an, da zu dem im konkreten Fall eingesetzten smsTAN-Verfahren erfolgreiche Attacken bekannt geworden seien und – aufgrund öffentlich zugänglicher Quellen – fraglich sei, ob das smsTAN-Verfahren allgemein einen Sicherheitsstandard aufweist, der die Anwendung der Regeln des Anscheinsbeweises rechtfertigt.
Trotz allgemein bekannt gewordener, erfolgreicher Angriffe auf Sicherheitssysteme des Online-Banking fehlt nach Auffassung des BGH nicht in jedem Fall eine Grundlage für die Anwendung des Anscheinsbeweises, da entsprechende Erkenntnisse nicht zu allen im Online-Banking genutzten Authentifizierungsverfahren vorlägen. Auch stünden inzwischen bekannt gewordene Schwächen des smsTAN-Verfahrens, die jedoch im Zeitpunkt der Erteilung des streitigen Zahlungsauftrags noch nicht bekannt oder praktisch nutzbar waren, einer Anwendung der Grundsätze des Anscheinsbeweises nicht entgegen. Diese Voraussetzungen habe das Berufungsgericht insgesamt verkannt und die notwendigen Feststellungen zur allgemein praktischen Unüberwindbarkeit des konkret eingesetzten Sicherungssystems im Zeitpunkt der Autorisierung nach heutigem Kenntnisstand sowie zu den zur Erschütterung eines eventuell eingreifenden Anscheinsbeweises vorgetragenen Umständen nicht getroffen.
Zudem habe das Berufungsgericht die Anforderungen an eine Erschütterung des Anscheinsbeweises überspannt. Die Erschütterung des Anscheinsbeweises bedürfe nicht zwingend der Behauptung und ggf. des Nachweises technischer Fehler des dokumentierten Authentifizierungsverfahrens durch den Nutzer. Es genüge, wenn der Beweisgegner Tatsachen darlege und beweise, die eine ernsthafte, ebenfalls in Betracht kommende Möglichkeit einer anderen Ursache nahelegen, also Umstände, die gegen die Autorisierung durch den Nutzer und für ein missbräuchliches Eingreifen eines Dritten sprechen. Hier hatte die Beklagte behauptet, ihr Geschäftsführer kenne den überweisungsempfangenden Rechtsanwalt nicht, und der Geschäftsführer habe diesem auch keine schriftliche Zahlungsanweisung erteilt; sofern eine solche mit seiner Unterschrift vorliegen sollte, sei die Unterschrift gefälscht. Weiter sei der Geschäftsführer im Zeitpunkt der Überweisung im Urlaub gewesen; sein Handy habe sich bei einem Mitarbeiter befunden. Die TAN sei zwar über SMS auf dem Handy eingegangen, der Mitarbeiter habe die TAN jedoch als Spam weggedrückt und nicht verwendet. Hierüber hätte das Berufungsgericht Beweis erheben müssen, was nicht erfolgt war.
Der Fall wurde vom BGH zur erneuten Verhandlung, Beweisaufnahme und Entscheidung an das Berufungsgericht zurückverwiesen.
C. Kontext der Entscheidung
Beim Phishing stellt sich die Frage, wer für den Schaden haftet, wenn Zugangsdaten durch unbefugte Dritte bzw. Straftäter im Online-Banking abgegriffen werden und eine von dem Bankkunden nicht gewollte Überweisung vorgenommen wurde. Für diese Fälle hat sich das Kunstwort Phishing etabliert, welches aus den englischen Begriffen „password“ und „fishing“ (phishing = Passwörter fischen) zusammengesetzt ist. Neuere Tathandlungen sind inzwischen davon geprägt, dass beim Phishing eine technisch ausgefeilte Schadsoftware im Rahmen einer Echtzeitmanipulation das Online-Banking angreift. Täter setzen beim Phishing eine ausgeklügelte technische Angriffsform ein. Gleichzeitig versuchen sie, beim Phishing mittels einer sozialen Manipulation (Social Engineering) an erforderliche Zugangsinformationen zu gelangen, um Zugriff auf das Online-Banking nehmen zu können.
Für eine nichtautorisierte Zahlungsanweisung haftet beim Phishing im Verhältnis einer Bank zu ihren Bankkunden grundsätzlich die Bank, sofern der Bankkunde die Überweisung nicht autorisiert hat (§ 675u BGB). Hat sich der Bankkunde dabei jedoch mindestens grob fahrlässig verhalten, bleibt er auf dem Schaden sitzen. Dann kann seine Bank einen eigenen Schadensersatzanspruch in gleicher Höhe gegen den Bankkunden beanspruchen (§ 675v Abs. 2 BGB).
Doch dabei stellen sich folgende Fragen: Wann handelt ein Bankkunde beim Phishing grob fahrlässig? Wie beweist man beim Phishing eine Nichtautorisierung? Da die Dritten bzw. Straftäter oft unbekannt bleiben, sind an den rechtlichen Auseinandersetzungen zu den Haftungsfragen beim Phishing oftmals nur ein Bankkunde sowie seine Bank beteiligt. In einigen Fällen wird beim Phishing ggf. noch ein Geldkurier in Anspruch genommen, oder es ist eine oder es sind mehrere Versicherungen beteiligt. Die exakten Tathandlungen bleiben beim Phishing oftmals überwiegend im Dunkeln.
Eine wesentliche Kernfrage in Phishing-Fällen besteht daher darin, welcher Partei die Darlegungs- und Beweislast für die Geltendmachung von Ansprüchen beim Online-Banking obliegt. Insbesondere geht es darum, ob man einer Bank die – jederzeit durch den Kunden – erschütterbare Beweiserleichterung eines Anscheinsbeweises zugutekommen lassen kann. Anscheinsbeweis bedeutet in diesem Zusammenhang, dass aus einer allgemeinen Lebenserfahrung und Erfahrungssätzen heraus dem Bankkunden unterstellt wird, er habe entweder die streitige Zahlungsanweisung selbst autorisiert, oder aber er habe sich bei der Aufbewahrung seiner – ihm von dem Zahlungsdienstleister überlassenen – Authentifizierungsmittel (z.B. PIN, TAN, Signaturkarte, etc.) bzw. bei deren Nutzung grob fahrlässig verhalten. Die Beweiserleichterung des Anscheinsbeweises bedeutet, dass beim Phishing die Bank nicht den Vollbeweis führen muss, dass ein Bankkunde entweder die Zahlungsanweisung autorisiert hat oder er sich grob fahrlässig verhalten hat, sondern dass sie sich in streitigen Missbrauchsfällen auf Erfahrungssätze und bestimmte typische Geschehensabläufe bzw. Fehlverhalten von Zahlungsdienstnutzern stützen kann. Dann muss der Bankkunde den Anscheinsbeweis durch Darlegung und Beweis eines abweichenden Geschehensablaufs erschüttern. Gelingt ihm dies beim Phishing nicht, ist die Bank haftungsfrei.
Der BGH hat die Anwendbarkeit des Anscheinsbeweises beim Online-Banking durch das Besprechungsurteil, dem zuzustimmen ist, fortentwickelt und deutlich einschränkende Grundsätze formuliert. Zu klären ist zunächst, worauf sich die Beweiserleichterung eines Anscheinsbeweises beim Phishing beziehen soll – auf die Autorisierung eines Zahlungsvorgangs oder auf ein grob fahrlässiges Verhalten des Nutzers. Die in Literatur und Rechtsprechung bisher streitige Frage, ob der Beweis des ersten Anscheins für die Autorisierung eines Zahlungsvorgangs im Online-Banking überhaupt zulässig ist, hat der BGH in der besprochenen Entscheidung dahin entschieden, dass die Anwendung der Anscheinsbeweisgrundsätze rechtlich zulässig und nicht generell ausgeschlossen ist. Der BGH hat in seiner Entscheidung jedoch die Voraussetzungen der Anwendbarkeit der Anscheinsbeweisgrundsätze präzisiert und geurteilt, dass für die Frage, ob ein Bankkunde eine Zahlungsanweisung autorisiert hat oder nicht, die Anwendbarkeit des Anscheinsbeweises zugunsten einer Bank nur dann in Betracht kommt, wenn das Sicherungssystem des konkret eingesetzten Online-Banking-Systems im Zeitpunkt der Vornahme des streitigen Zahlungsvorgangs allgemein praktisch unüberwindbar war. Ferner muss das Online-Banking nach Ansicht des BGH im konkreten Einzelfall ordnungsgemäß angewendet worden sein sowie fehlerfrei funktioniert haben. Auch müsse Beweis erhoben werden über vom Nutzer behauptete Umstände, die den Anscheinsbeweis der Autorisierung erschüttern können (die im Fall des besprochenen Urteils allerdings mehr als unwahrscheinlich und unglaubhaft erscheinen, vgl. o.).
Für den Fall, dass sich ein Anscheinsbeweis auf ein angeblich zu unterstellendes grob fahrlässiges Verhalten des Bankkunden beziehen soll, hat der BGH im besprochenen Urteil zwar grundsätzlich den Anscheinsbeweis zum Nachweis grober Fahrlässigkeit als rechtlich zulässig und nicht generell ausgeschlossen erklärt. Jedoch gibt es nach Auffassung des BGH im Falle des Missbrauchs des Online-Banking – aufgrund der Vielzahl von Authentifizierungsverfahren mit erheblichen Unterschieden in Sicherungskonzept und Ausgestaltung und unterschiedlicher (zum Teil bekannt gewordener) Angriffspotentiale – keine Erfahrungssätze, die auf ein bestimmtes typisches Fehlverhalten des Zahlungsdienstnutzers hinweisen würden.
Insoweit hebt der BGH den Unterschied zur Nutzung von Zahlungskarten an Geldautomaten hervor, bei der Erfahrungssätze, die auf ein bestimmtes typisches Fehlverhalten des Zahlungsdienstnutzers hinweisen, allgemein und in ständiger höchstrichterlicher Rechtsprechung anerkannt sind (BGH, Urt. v. 05.10.2004 – XI ZR 210/03; BGH, Urt. v. 29.11.2011 – XI ZR 370/10; BGH, Beschl. v. 06.07.2010 – XI ZR 224/09). Danach spricht in Fällen des Zahlungskarten-Missbrauchs grundsätzlich der Beweis des ersten Anscheins dafür, dass der Karteninhaber die PIN auf der Karte notiert oder gemeinsam mit dieser verwahrt hat, wenn zeitnah nach dem Diebstahl einer Karte unter Verwendung dieser Karte und Eingabe der richtigen persönlichen Geheimzahl (PIN) an Geldausgabeautomaten Bargeld abgehoben wird und andere Ursachen für den Missbrauch nach der Lebenserfahrung außer Betracht bleiben. Dies hat der BGH auch noch nach Einführung der Zahlungsdiensterichtlinie für vor dem 31.10.2009 durchgeführte Zahlungsvorgänge bestätigt und dahin konkretisiert, dass der Beweis des ersten Anscheins nur angenommen werden kann, wenn bei der missbräuchlichen Abhebung die Originalkarte eingesetzt worden ist (vgl. BGH, Urt. v. 29.11.2011 – XI ZR 370/10 m. Anm. Beesch/Willershausen, jurisPR-BKR 9/2012 Anm. 1). Nach der Rechtsprechung des OLG Dresden (Urt. v. 06.02.2014 – 8 U 1218/13) und des AG Köln (Urt. v. 22.12.2014 – 142 C 141/13) können diese vom BGH entwickelten Anscheinsbeweisregeln in den einschlägigen Fällen auch auf Zahlungsvorgänge angewendet werden, die nach Umsetzung der Zahlungsdiensterichtlinie ab dem 31.10.2009 stattgefunden haben und die dem Geltungsbereich der §§ 675u bis 675w BGB unterliegen. Dabei wird Bezug genommen auf die Gesetzesbegründung, in der der Gesetzgeber ausgeführt hat, dass mit der Einführung des § 675w BGB keine grundlegenden Änderungen in der bisherigen Rechtsprechung verbunden sind (weiterführend Beesch in: Dauner-Lieb/Langen, BGB, 3. Aufl. 2016, § 675w Rn. 23 ff. und Rn. 37 ff.).
D. Auswirkungen für die Praxis
Ist das maßgebliche Kriterium zur Anwendbarkeit der Beweisgrundsätze des Anscheinsbeweises im Hinblick auf eine Autorisierung die „allgemeine praktische Unüberwindbarkeit“ des konkret eingesetzten Sicherungssystems auf der Grundlage aktueller Erkenntnisse und unter Beachtung des konkret eingesetzten Sicherungsverfahrens, stellt die Darlegungs- und Beweislast für den Zahlungsdienstleister in Online-Banking-Fällen bei einem modernen und ausgefeilten „Man-in-the-Middle-Angriff“ beim Phishing eine hohe Hürde dar. Wer sich Haftungsfragen durch Phishing ausgesetzt sieht, gleich ob als Bankkunde oder als Bank, wird in der Regel fachanwaltliche Hilfe benötigen.
Das Kriterium einer „Unüberwindbarkeit“ von Sicherheitssystemen verweist in die bereits 1989/90 von der damaligen Zentralstelle für Sicherheit in der Informationstechnik (BSI) für die Bewertung und Zertifizierung von Computersystemen und Software erarbeiteten IT-Sicherheitskriterien. Demnach wird bei der Bewertung eines vertrauenswürdigen Computersystems regelmäßig zwischen der Wirksamkeit einer Methode und der Korrektheit der Implementierung unterschieden. Die Wirksamkeit einer Methode bezeichnet hierbei die Widerstandsfähigkeit eines Schutzmechanismus gegen Umgehungsversuche, die anhand der IT-Sicherheitskriterien schon damals in eine sechsstufige Bewertungsskala eingeteilt worden war. Davon ausgehend beschreibt der Begriff „nicht überwindbar“ die höchste Qualitätsklasse. Nicht überwindbar bedeutet demnach, dass das konkrete eingesetzte Online-Banking-System einen derzeit nicht überwindbaren Schutz vor Phishing bieten muss. Zur Aufrechterhaltung seiner Stärke dürfen höchstens solche organisatorischen Maßnahmen eingesetzt werden, die durch systeminterne Überwachungsfunktionen praktisch vollständig gegen Fehler abgesichert sind. Alle diese Kontrollfunktionen müssen Bestandteil der zu evaluierenden Software sein. Selbst für die direkt darunterliegende Stufe gilt, dass sie nach dem Stand der Technik nur mit äußerstem Aufwand zu überwinden sein darf. Unüberwindbarkeit greift dagegen nur, wenn die Überwindbarkeit im Zeitpunkt einer Phishing-Tathandlung allgemein und praktisch ausgeschlossen war.
Dies macht eine Einzelfallbetrachtung des jeweils bei einer Tathandlung konkret eingesetzten Online-Banking-Systems erforderlich. Will man abschätzen, wer beim Phishing haftet, so setzt dies eine grundlegende Kenntnis der permanent im Fluss befindlichen Kriminalitätsentwicklung im Zeitpunkt der Tathandlung voraus. Dies kann sicherlich nur ein spezialisiert tätiger Fachanwalt für Bankrecht bzw. ein IT-Experte leisten. Es bleibt damit zu rechnen, dass es zukünftig vermehrt zu Sachverständigengutachten in den Gerichtsverfahren beim Phishing kommen dürfte (so auch Schultheiß, WuB 2016, 454), ebenso wie zu vermehrten Beweisaufnahmen in sonstiger Hinsicht.
Aufgrund der Annahme eines Anscheinsbeweises wird der besser geschützte Nutzer regelmäßig gegenüber dem schlechter geschützten Nutzer benachteiligt, da er den Anscheinsbeweis erschüttern muss und ihn infolgedessen eine gesteigerte Darlegungs- und Beweislast trifft. Diese wird er jedoch nur im Einzelfall erfüllen können, sodass man in der Praxis zumeist vom Vorliegen einer Autorisierung ausgehen muss. Ein Anspruch aus § 675u BGB – der einen nicht autorisierten Zahlungsvorgang voraussetzt – besteht demnach nicht.
E. Weitere Themenschwerpunkte der Entscheidung
Der BGH stellt in seiner Entscheidung außerdem fest, dass die beklagte GmbH die Überweisung auch nicht nach den Grundsätzen der Anscheinsvollmacht bzw. eines Handelns unter fremdem Namen gegen sich gelten lassen muss. Der BGH bezweifelt bereits, dass diese Rechtscheingrundsätze neben den Spezialvorschriften der §§ 675j Abs. 1 Satz 4, 675u, 675v BGB anwendbar sein können. Nach dem zwischen den Parteien geschlossenen Vertrag ist bei Nutzung von PIN und TAN, die nach § 675l BGB geheim zu halten sind, eine Bevollmächtigung Dritter generell ausgeschlossen. Handlungen Dritter bei der förmlichen Authentifizierung nach § 675j Abs. 1 Satz 4 BGB mit den personalisierten Sicherheitsmerkmalen der Beklagten sind daher unwirksam und können mittels des betreffenden Authentifizierungsverfahrens selbst dann keinen Zahlungsauftrag autorisieren, wenn die persönlichen Sicherheitsmerkmale vom Dritten mit Zustimmung des Berechtigten eingesetzt würden. Zudem wäre der in § 675v Abs. 2 BGB festgelegte Grundsatz, dass der Kontoinhaber für einen nicht autorisierten Zahlungsvorgang nur bei Vorsatz oder grober Fahrlässigkeit einzustehen hat, berührt, wenn daneben dessen Haftung nach den Regeln eines Handelns unter fremdem Namen auch für einfache Fahrlässigkeit in Betracht käme. Der BGH lässt eine Entscheidung in diesem Punkt letztlich dahingestellt, da die Voraussetzungen eines Handelns nach Rechtscheingrundsätzen (das Handeln eines Nichtberechtigten war der Beklagten bekannt oder sie hätte es erkennen können) im konkreten Fall jedenfalls nicht erfüllt waren. Es fehle an einer Erkennbarkeit des Handelns des vermeintlichen Vertreters durch den Zahlungsdienstleister sowie bei einem einmaligen Missbrauchsfall im Online-Banking an der erforderlichen Dauer und Häufigkeit des Handelns des Scheinvertreters.