Electronic Banking und Datenschutz
Thomas Kahler · Stefan Werner
Electronic Banking und Datenschutz
Rechtsfragen un...
53 downloads
1542 Views
1MB Size
Report
This content was uploaded by our users and we assume good faith they have the permission to share this book. If you own the copyright to this book and it is wrongfully on our website, we offer a simple DMCA procedure to remove your content from our site. Start by pressing the button below!
Report copyright / DMCA form
Electronic Banking und Datenschutz
Thomas Kahler · Stefan Werner
Electronic Banking und Datenschutz
Rechtsfragen und Praxis
123
Thomas Kahler Dr. Stefan Werner Rechtsanwälte in Frankfurt am Main
ISBN 978-3-540-72223-6
e-ISBN 978-3-540-72224-3
DOI 10.1007/978-3-540-72224-3 Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar. c 2008 Springer-Verlag Berlin Heidelberg Dieses Werk ist urheberrechtlich geschützt. Die dadurch begründeten Rechte, insbesondere die der Übersetzung, des Nachdrucks, des Vortrags, der Entnahme von Abbildungen und Tabellen, der Funksendung, der Mikroverfilmung oder der Vervielfältigung auf anderen Wegen und der Speicherung in Datenverarbeitungsanlagen, bleiben, auch bei nur auszugsweiser Verwertung, vorbehalten. Eine Vervielfältigung dieses Werkes oder von Teilen dieses Werkes ist auch im Einzelfall nur in den Grenzen der gesetzlichen Bestimmungen des Urheberrechtsgesetzes der Bundesrepublik Deutschland vom 9. September 1965 in der jeweils geltenden Fassung zulässig. Sie ist grundsätzlich vergütungspflichtig. Zuwiderhandlungen unterliegen den Strafbestimmungen des Urheberrechtsgesetzes. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. Herstellung: le-tex Jelonek, Schmidt & Vöckler GbR, Leipzig Einbandgestaltung: WMX Design GmbH, Heidelberg Gedruckt auf säurefreiem Papier 987654321 springer.de
Vorwort
Banken spielen in einer Volkswirtschaft eine besondere Rolle. Von der Bereitstellung von Krediten, dem Aktienhandel an der Börse, den vielfältige Möglichkeiten Geld gewinnbringend anzulegen bis hin zur privaten Altersvorsorge stellen sie einen wichtigen Teil der Wirtschaft da. Darüber hinaus stehen Sie unter der besonderen Kontrolle einer staatlichen Aufsicht durch das Bundesaufsichtsamt für Finanzdienstleistungen (BaFin), die Bundesbank und die Europäische Zentralbank (EZB). Auch für den Kunden haben Banken eine besondere Bedeutung. Der wirtschaftliche Erfolg von Privat- wie auch von Geschäftskunden hängt in vielen Fällen entscheidend von der richtigen Beratung einer Bank in finanziellen Angelegenheiten ab. Um den Kunden auch in Zukunft einen umfassenden und schnellen Service anbieten zu können, bedient sich die Kreditwirtschaft in immer stärkerem Umfange der neuen Medien, um mit ihren Kunden zu kommunizieren. Aufgrund dessen nehmen die über solche Medien angebotenen Dienstleistungen stetig zu. Über Electronic Banking wird deshalb neben dem Zahlungsverkehr ein breiter Fächer an Bankprodukten angeboten, auch wenn dieser Zugangskanal zur Bank nicht frei von spezifischen Risiken ist. Dabei gewinnen Fragen des Datenschutzes gleichzeitig an Bedeutung, da die elektronische Verarbeitung weit reichende Möglichkeiten einer Auswertung und Verarbeitung von Kundendaten bietet. Die rechtlichen Fragen, die sich in beiden Bereichen Electronic Banking (Bearbeiter: Dr. Werner) und Datenschutz (Bearbeiter: Kahler) stellen, sollen im vorliegenden Buch dargestellt werden. Dabei umfasst ein erster Teil, der aus den Kapiteln 1. bis 8. besteht, das Thema „Electronic Banking“, in dem die damit in Zusammenhang stehenden Rechtsprobleme insbesondere anhand des Kontovertrags und des Zahlungsverkehrs über Online-Medien behandelt werden sollen. Der Schwerpunkt liegt dabei auf dem Zahlungsverkehr, da in diesem Bereich die Kommunikation zwischen Bank und Kunde über elektronische Medien den größten Verbreitungsgrad gefunden hat. Die ersten drei Kapitel setzen sich mit der Kontoeröffnung über Online-Medien und allgemeinen Rechtsfragen im Zusammenhang mit der Bankgeschäftsbeziehung über diese Medien auseinander. Kapitel vier ist dem Zahlungsverkehr über elektronische Medien gewidmet und wird im fünften Kapitel ergänzt um die rechtliche Behandlung des Einsatzes von Debit- und Kreditkarten über Online-Medien. Abgerundet wird dieser Themenbereich in Kapitel 6 durch eine zusammenfassende Darstellung der mit den elektronischen Medien im Zahlungsverkehr verbundenen Risiken. Im siebenten Kapitel wird ein kurzer Blick auf die eher zaghaften Versuche zur Einführung von Netzgeld geworfen. Das achte Kapitel behandelt
VI
Vorwort
den Fernabsatz von Finanzdienstleistungen und stellt Electronic Banking in einen größeren Zusammenhang. Im Zuge einer Geschäftsbeziehung vertraut der Kunde der Bank Informationen an, die von entscheidender Wichtigkeit für seine wirtschaftliche Existenz und für seine Aussicht sind, Wohlstand zu erzielen. Durch die rasante Entwicklung der Informationstechnologie entstehen immer bessere Möglichkeiten, Kundeninformationen elektronisch zu verarbeiten und auszuwerten. Dadurch steigt zugleich die Bedeutung des Datenschutzes und des Bankgeheimnisses, mit dem sich der zweite Teil dieser Darstellung in den Kapiteln 9 bis 17 beschäftigt. Die Grundidee des zweiten Teils ist eine übergreifende Darstellung von Datenschutz und Bankgeheimnis. Soweit ersichtlich wurden beide Aspekte bisher nur getrennt untersucht und allenfalls für einzelne Aspekte zusammen betrachtet. Die Arbeit des Datenschutzbeauftragten einer Bank, die auf das Privatkundengeschäft fokussiert ist, fußt jedoch auf beiden Säulen, so dass sich in der Praxis insbesondere die Frage stellt, wie Datenschutz und Bankgeheimnis zusammenwirken. Kapitel 9 befasst sich dabei mit den historischen Wurzeln und Kapitel 10 klärt die grundsätzliche Anwendungskonkurrenz von Datenschutz und Bankgeheimnis. Kapitel 11 und Kapitel 12 erläutert jeweils getrennt die Grundzüge des Bankgeheimnisses und des Datenschutzes. Kapitel 13 stellt die zentrale Frage, auf Grund welcher Rechtsgrundlagen eine Datenverarbeitung gemäß Bankgeheimnis und Datenschutz zulässig ist. Hier werden die Unterschiede und die Gemeinsamkeiten beider Rechtsinstitute im Detail dargestellt. Im Kapitel 14 werden einige besonders relevante Verarbeitungsarten der Bank erläutert. Datenschutz und Internet (Kapitel 15) stellt den Bezug zum Electronic Banking her, wobei deutlich wird, dass der Datenschutz des neuen Telemediengesetzes (TMG) nur zum Teil für die Banken praxisrelevant ist. In einem Exkurs wird dabei auf die Frage nach der Haftung bei Angriffen auf das Online-Banking eingegangen. Vor der abschließenden Bewertung und dem Ausblick (Kapitel 17) werden in Kapitel 16 aktuelle Probleme – wie z. B. Zugriffe staatlicher Behörden auf Kundendaten – erörtert. Frankfurt, im Dezember 2007
Thomas Kahler Dr. Stefan Werner
Inhaltsverzeichnis
TEIL I: ELECTRONIC BANKING Dr. Stefan Werner 1
Der Kontovertrag ............................................................................... 3 1.1 Vertragsabschluss über Fernkommunikationsmedien im Bankbereich ........................................................................................ 3 1.2 Identifizierung und Legitimation ........................................................ 4
2
Die Einbeziehung Allgemeiner Geschäftsbedingungen in den Bankvertrag ................................................................................ 9 2.1 Voraussetzungen für die wirksame Einbeziehung Allgemeiner Geschäftsbedingungen in den Bankvertrag ......................................... 9 2.2 Die wirksame Einbeziehung Allgemeiner Geschäftsbedingungen auf elektronischem Wege............................. 10 2.3 Sonderbedingungen für Bankgeschäfte über elektronische Medien .............................................................................................. 13 2.4 Risikoverteilung ................................................................................ 14
3
Der Internet-Einzelvertrag............................................................... 19 3.1 Die Bedeutung von Rahmenvereinbarungen..................................... 19 3.2 Die Pflichten der Bank ...................................................................... 19 3.2.1 Das Ineinandergreifen verschiedener Bedingungswerke ....... 19 3.2.2 Die Weitergeltung allgemeiner Pflichten aus dem Bankvertrag............................................................................ 20 3.3 Die Nachweisproblematik des Vertragsabschlusses und das Missbrauchsrisiko ............................................................................. 23 3.3.1 Die Nachweisproblematik...................................................... 23 3.3.2 Das Missbrauchsrisiko ........................................................... 25 3.3.2.1 Die rechtlichen Grundsätze zum Anscheinsbeweises .................................................. 25 3.3.2.2 Elektronische Legitimationsmedien......................... 26 3.3.2.3 Die Pflichtenverteilung im Zusammenhang mit elektronischen Legitimationsmedien ....................... 27 3.3.2.4 Die Anwendung der Grundsätze zum Anscheinsbeweis auf elektronische Legitimationsmedien ....... 27
VIII
Inhaltsverzeichnis
4
Zahlungsverkehr über Online-Medien ........................................... 33 4.1 Online-Banking................................................................................. 33 4.1.1 Der Umfang des Online-BankingDienstleistungsangebots......................................................... 33 4.1.2 Die Rechtsgrundlagen des Online-Banking ........................... 34 4.1.3 Risiken und Rechtsprobleme des Online-BankingVerfahrens.............................................................................. 35 4.1.3.1 Der Abschluss eines Online-Banking-Vertrags über Online-Medien................................................. 35 4.1.3.2 Voraussetzungen für den Abschluss des Online-Banking-Vertrags......................................... 37 4.1.3.3 Leistungsangebot und Risikoverteilung im Online-Banking........................................................ 40 4.1.4 Haftungsrisiken...................................................................... 45 4.1.4.1 Geheimhaltungs- und Sicherungspflichten des Online-Banking-Nutzers .......................................... 45 4.1.4.2 Aufklärungspflichten der Bank................................ 48 4.1.4.3 Spezielle Sorgfaltspflichten im Zahlungsverkehr ...................................................... 48 4.1.4.4 Rechtsprobleme bei Entgegennahme und Ausführung von Anträgen und Aufträgen ............... 52 4.2 Homebanking .................................................................................... 57 4.2.1 Grundlagen des Homebanking............................................... 57 4.2.1.1 Verfahren ................................................................. 57 4.2.1.2 Rechtsgrundlagen des Homebanking....................... 57 4.2.2 Sicherungsverfahren und Sicherungspflichten im Homebanking......................................................................... 60 4.2.3 Haftungsrisiken...................................................................... 63 4.3 Das Lastschriftverfahren im Internet................................................. 64 4.3.1 Rechtsgrundlagen und Einziehungsermächtigungsverfahren ..................................... 64 4.3.2 Das Schriftformerfordernis im Einziehungsermächtigungsverfahren ..................................... 66 4.3.3 Die elektronische Substituierung der Schriftform.................. 71 4.3.4 Die Endgültigkeit der Zahlung............................................... 73
5
Kartengestützter Zahlungsverkehr ................................................ 79 5.1 Konventionelle Kartenverfahren im Internet..................................... 79 5.1.1 electronic-cash-Verfahren im Internet ................................... 79 5.1.2 POZ-Verfahren über Online-Medien ..................................... 82 5.1.3 Das elektronische Lastschriftverfahren über OnlineMedien ................................................................................... 83
Inhaltsverzeichnis
5.2
5.3
6
IX
Die GeldKarte im Internet................................................................. 84 5.2.1 Rechtsgrundlagen des GeldKarten-Verfahrens...................... 84 5.2.2 Die Geeignetheit des Zahlungsablaufs bei der GeldKarte für Zahlungen im Netz ......................................... 87 5.2.3 GeldKarte und Risikoverteilung ............................................ 88 5.2.4 Anpassungserfordernisse ....................................................... 96 Die Kreditkarte im Internet ............................................................... 97 5.3.1 Das Mail-Order- / Telephone-Order-Verfahren als Basis des Internet-Zahlungsverkehrs mittels Kreditkarte ................ 97 5.3.2 Die Risiken des Kreditkarteneinsatzes im Fernabsatz ........... 98 5.3.3 Das SET-Verfahren................................................................ 99 5.3.4 Neue Kartenzahlungsverfahren im Internet ........................... 99 5.3.5 Die grundsätzlichen strukturellen Unterschiede der verschiedenen Verfahren von Kreditkartenzahlungen im Internet................................................................................. 101
Risiken des elektronischen Zahlungsverkehrs über Online-Medien – Einschränkung der Gestaltungsmöglichkeiten durch Gesetzgebung und Rechtsprechung ............................................................................ 103 6.1 Beweislast und Haftungsrisiken der Kreditkartenzahlungen........... 103 6.1.1 Im Mail- bzw. Telephone-Order-Verfahren......................... 103 6.1.1.1 Missbrauchsrisiko .................................................. 104 6.1.1.2 Regelungen in den Kartenbedingungen ................. 105 6.1.1.3 Sphärenhaftung ...................................................... 108 6.1.1.4 Risikoverteilung..................................................... 110 6.1.1.5 Rückbelastungsklauseln im Mail- und Telephone-Order-Verfahren .................................. 113 6.2 Umfang und Grenzen der Haftung im Online-Banking .................. 114 6.2.1 Risikozurechnung ................................................................ 114 6.2.2 Sorgfaltspflichten des Online-Banking-Teilnehmers........... 115 6.2.3 Sorgfaltspflichten der Bank ................................................. 117 6.3 Besondere Risiken der POS-Verfahren........................................... 119 6.4 Spezielle Haftungsrisiken für das Lastschriftverfahren im Internet ............................................................................................ 119 6.4.1 Die Form der Einziehungsermächtigung ............................. 119 6.4.2 Das Widerspruchsrisiko ....................................................... 120 6.4.3 Die Genehmigung der Lastschriftbuchung .......................... 122 6.4.4 Das Nachweisrisiko ............................................................. 122 6.5 Risiken der GeldKarte im Internet .................................................. 124 6.5.1 Risiken des Aufladevorgangs............................................... 124 6.5.2 Missbrauchsrisiken bei Verwendung der Karte ................... 125
X
Inhaltsverzeichnis
7
Netzgeld .......................................................................................... 129 7.1 Beispiele aktueller Netzgeld-Verfahren .......................................... 129 7.2 Risiken für den Verbraucherschutz ................................................. 130 7.3 Das Problem der Datenspuren......................................................... 132
8
Finanzdienstleistungen und verbundene Geschäfte ................. 133 8.1 Die Fernabsatzrichtlinie .................................................................. 133 8.2 Der Regelungsgehalt der Fernabsatzrichtlinie................................. 134 8.3 Erfüllung der Informationspflichten................................................ 135 8.4 Rechtsfolgen von Pflichtverletzungen............................................. 136 8.5 Das Widerrufsrecht ......................................................................... 136 8.6 Schlichtung...................................................................................... 137
TEIL II: DATENSCHUTZ UND BANKGEHEIMNIS Thomas Kahler 9
Einführung...................................................................................... 143 9.1 Geschichte und Einordnung des Bankgeheimnisses ....................... 143 9.1.1 Kleine Geschichte des Bankgeheimnisses ........................... 143 9.1.2 Die aktuelle Konzeption des Bankgeheimnisses in Deutschland ......................................................................... 143 9.1.3 Das Bankgeheimnis in der EU ............................................. 144 9.2 Die historische Entwicklung des Datenschutzes ............................. 145 9.2.1 Die Anfänge der Datenschutzgesetzgebung......................... 145 9.2.2 Das Recht auf informationelle Selbstbestimmung ............... 145 9.2.3 Die EU-Datenschutzrichtlinie .............................................. 146 9.3 Begriffe und Definitionen ............................................................... 147 9.3.1 Privatkunden und Firmenkunden ......................................... 147 9.3.2 Bankvertrag.......................................................................... 148 9.3.3 Bank, Kreditinstitut und die Anwendbarkeit des BDSG...... 148 9.3.4 Begriffe des BDSG .............................................................. 149 9.3.4.1 Verantwortliche Stelle ........................................... 149 9.3.4.2 Verarbeitung von Daten......................................... 149 9.3.4.3 Betroffener und personenbezogene Daten ............. 149
10
Das Verhältnis von Bankgeheimnis und Datenschutz .............. 151 10.1 Die unterschiedlichen Rechtsgrundlagen ........................................ 151 10.1.1 Das Bankgeheimnis als zivilrechtliche, vertragliche Nebenpflicht......................................................................... 151 10.1.2 Die gesetzlichen Grundlage des Datenschutzes ................... 151
Inhaltsverzeichnis
10.2 10.3
XI
Die Anwendungskonkurrenz zwischen Bankgeheimnis und Datenschutz..................................................................................... 152 Persönlicher Schutzbereich ............................................................. 153 10.3.1 Das Bankgeheimnis umfasst natürliche und juristische Personen............................................................................... 153 10.3.2 Der Datenschutz als Schutzgesetz für natürliche Personen............................................................................... 153 10.3.3 Konsequenzen für die Praxis des Datenschutzes in der Bank ..................................................................................... 153
11
Die Grundlagen des Bankgeheimnisses ..................................... 155 11.1 Die Rechtsgrundlage des Bankgeheimnisses .................................. 155 11.2 Der Umfang der Verschwiegenheitspflicht..................................... 155 11.3 Das interne Bankgeheimnis............................................................. 156 11.4 Legitime Grundlagen einer Weitergabe von Kundeninformationen ..................................................................... 157 11.4.1 Einwilligung, gesetzliche Offenbarungspflicht und Bankauskunft ....................................................................... 157 11.4.2 Ausnahme vom Bankgeheimnis u. a. wegen Vertragsbruches des Kunden ............................................... 157 11.5 Die Privilegierung der Banken in bestimmten Gerichtsverfahren und im Besteuerungsverfahren aufgrund des Bankgeheimnisses ........................................................................... 158 11.5.1 Das Bankgeheimnis im Zivilprozess und in verwandten Gerichtsverfahren................................................................. 158 11.5.2 Das Bankgeheimnis im Besteuerungsverfahren................... 159
12
Grundzüge des Datenschutzes .................................................... 161 12.1 Das Verbot mit Erlaubnisvorbehalt................................................. 161 12.2 Der Grundsatz der Datenerhebung beim Betroffenen ..................... 161 12.2.1 Unterrichtungspflicht und Freiwilligkeitshinweis................ 162 12.2.2 Die Datenerhebung ohne Mitwirkung des Betroffenen ....... 162 12.3 Die Zweckbindung .......................................................................... 163 12.4 Datenvermeidung und Datensparsamkeit........................................ 163 12.5 Rechte des Betroffenen ................................................................... 164 12.5.1 Das Recht auf Auskunft ....................................................... 164 12.5.1.1 Umfang der herauszugebenden Daten ................... 165 12.5.1.2 Weitere Informationen über die gespeicherten Daten...................................................................... 165 12.5.1.3 Form....................................................................... 165 12.5.1.4 Unentgeltlichkeit.................................................... 166
XII
Inhaltsverzeichnis
12.5.1.5 Ausnahmen vom Recht der Auskunft .................... 166 12.5.1.6 Das Auskunftsrecht in der Praxis........................... 166 12.5.2 Das Recht auf Berichtigung, Löschung und Sperrung ......... 166 12.5.3 Das Recht auf Benachrichtigung.......................................... 167 12.6 Der Datenschutzbeauftragte ............................................................ 168 12.6.1 Die Bestellpflicht und der Widerruf der Bestellung............. 168 12.6.2 Der gesetzliche Auftrag des Datenschutzbeauftragten......... 169 12.6.2.1 Die Einhaltung der Datenschutzgesetze................. 169 12.6.2.2 Die Vorabkontrolle ................................................ 169 12.6.2.3 Die ordnungsgemäße Anwendung der IT-Programme........................................................ 170 12.6.2.4 Datenschutzmanagement ....................................... 170 12.6.2.5 Schulung der Mitarbeiter ....................................... 170 12.6.3 Die besondere Rechtsstellung des Datenschutzbeauftragten....................................................... 171 12.6.3.1 Teil des zweistufigen Kontrollsystems .................. 171 12.6.3.2 Direkte Unterstellung unter die Geschäftsleitung..................................................... 171 12.6.3.3 Weisungsfreiheit .................................................... 171 12.6.3.4 Diskriminierungsverbot ......................................... 171 12.6.4 Qualifikation ........................................................................ 172 12.6.5 Der externe Datenschutzbeauftragte .................................... 173 12.6.6 Das Anrufungsrecht des Betroffenen ................................... 173 12.6.7 Das Recht des DSB, sich an die Aufsichtsbehörde zu wenden................................................................................. 173 12.6.8 Die Haftung des Datenschutzbeauftragten........................... 174 12.6.9 Der Datenschutzbeauftragte und die Einhaltung des Bankgeheimnisses................................................................ 174 12.7 Die Aufsichtsbehörde für den Datenschutz..................................... 175 12.7.1 Die Gesetzliche Aufgabe ..................................................... 175 12.7.2 Die behördliche Organisation .............................................. 176 12.7.3 Kontroll- und Prüfrechte ...................................................... 176 12.7.4 Anordnungs- und Untersagungsrechte................................. 177 12.7.5 Bußgeld................................................................................ 177 12.7.6 Die Datenschutzaufsichtsbehörde und das Bankgeheimnis..................................................................... 178 12.8 Das Verfahrensverzeichnis für jedermann ...................................... 178 12.9 Werbung.......................................................................................... 179 12.10 Customer Relationship Management (CRM).................................. 181 12.11 Datensicherheit................................................................................ 181 12.12 Datenübertragung ins Ausland ........................................................ 183
Inhaltsverzeichnis
13
XIII
Die Zulässigkeit der Verarbeitung von Kundendaten gemäß Bankgeheimnis und Datenschutz ................................................ 185 13.1 Die Einwilligung ............................................................................. 185 13.1.1 Die Einwilligung gemäß Bankgeheimnis............................. 185 13.1.2 Die Einwilligung gem. § 4a BDSG...................................... 186 13.1.2.1 Vorherige Zustimmung.......................................... 186 13.1.2.2 Die Freiwilligkeit................................................... 186 13.1.2.3 Die Informiertheit .................................................. 187 13.1.2.4 Die Form................................................................ 187 13.1.2.5 Die Hervorhebung der Einwilligung bei Abgabe mehreren Erklärungen .............................. 188 13.1.2.6 Der Widerruf.......................................................... 188 13.1.3 Die Einwilligung in der Praxis des Datenschutzes............... 188 13.1.4 Die Bankauskunft der Privatkunden als Unterform der Einwilligung......................................................................... 188 13.2 Die Datenverarbeitung aufgrund eines Gesetzes............................. 190 13.2.1 Die Bankaufsicht.................................................................. 190 13.2.1.1 Das Bundesamt für Finanzdienstleistungsaufsicht ................................ 190 13.2.1.2 Die Deutsche Bundesbank ..................................... 190 13.2.1.3 Wirtschaftprüfer und Verbandsrevisoren............... 191 13.2.2 Gesellschaftsinterne Meldepflichten gem. Gesellschaftsrecht und KWG............................................... 191 13.2.3 Legitimationsprüfung und Geldwäschebekämpfung ........... 191 13.2.4 Aufzeichnungspflichten gemäß Wertpapierhandelsgesetz ..................................................... 192 13.2.5 Die Kontoabrufverfahren des BaFin und der Finanzund Sozialbehörden.............................................................. 192 13.2.6 Das Ermittlungsverfahren der Staatsanwaltschaft und der Strafprozess.................................................................... 192 13.2.7 Sonstige Auskunftsansprüche staatlicher Stellen gegenüber Banken................................................................ 193 13.3 Datenverarbeitung aufgrund überwiegenden Interesses.................. 194 13.3.1 Keine Weitergabe von Kundeninformationen aufgrund überwiegenden Interesses gemäß Bankgeheimnis ............... 194 13.3.2 Die Datenverarbeitung gem. § 28 BDSG (inkl. Zweckänderung) .................................................................. 195 13.3.3 Konsequenzen für die Praxis des Datenschutzes ................. 197 13.4 Die Auftragsdatenverarbeitung ....................................................... 198 13.4.1 Die Auftragsdatenverarbeitung gem. § 11 BDSG................ 198 13.4.2 Die Übertragung der Auftragsdatenverarbeitung auf das Bankgeheimnis..................................................................... 199 13.4.3 Aufsichtsrechtliche Anforderungen gem. § 25a KWG beim Outsourcing................................................................. 201
XIV
Inhaltsverzeichnis
14
Bankspezifische Verarbeitungsarten .......................................... 203 14.1 Das Verbot der Auswertung der Zahlungsverkehrszwecke ............ 203 14.2 Die Schufa....................................................................................... 203 14.3 Der Mitarbeiter als Kunde............................................................... 205 14.4 Fusionen und Übernahmen in der Kreditwirtschaft ........................ 206
15
Datenschutz und Internet.............................................................. 209 15.1 Eine Einführung in das Telemediengesetz ...................................... 209 15.1.1 Vom Teledienstegesetz und Teledienstedatenschutzgesetz zum Telemediengesetz......... 209 15.1.2 Allgemeine Informationspflichten der Diensteanbieter ....... 210 15.1.2.1 Allgemeine Informationspflichten, Impressumspflicht.................................................. 210 15.1.2.2 Besondere Informationspflichten bei kommerzieller Kommunikation ............................. 210 15.1.3 Die Anwendbarkeit der Datenschutzbestimmungen gemäß TMG......................................................................... 211 15.1.3.1 Anwendbarkeit des Telemediengesetz................... 211 15.1.3.2 Anwendbarkeit der Datenschutzbestimmungen des TMG ................................................................ 211 15.1.4 Grundsätze der Datenverarbeitung gem. TMG .................... 212 15.1.4.1 Strenge Zweckbindung .......................................... 212 15.1.4.2 Das Kopplungsverbot ............................................ 212 15.1.4.3 Informationspflichten hinsichtlich der Datenverarbeitung.................................................. 212 15.1.4.4 Elektronische Einwilligung.................................... 213 15.1.4.5 Datensicherheit ...................................................... 213 15.1.4.6 Anonyme und pseudonyme Nutzung der Telemedien ............................................................ 214 15.1.4.7 Weitervermittlung an andere Diensteanbieter........ 214 15.1.4.8 Das Auskunftsrecht des Nutzers ............................ 214 15.1.4.9 Subsidiäre Geltung des BDSG............................... 214 15.1.5 Die Unterscheidung zwischen Bestands-, Nutzungsund Abrechnungsdaten......................................................... 214 15.1.5.1 Bestandsdaten ........................................................ 215 15.1.5.2 Nutzungsdaten ....................................................... 215 15.1.5.3 Abrechnungsdaten ................................................. 215 15.1.6 Die Zulässigkeit der Datenverarbeitung gem. TMG ............ 215 15.1.6.1 Einwilligung und Gesetz........................................ 215 15.1.6.2 Die Verarbeitung von Bestandsdaten..................... 215 15.1.6.3 Die Verarbeitung von Nutzungsdaten.................... 216 15.1.6.4 Die Verarbeitung von Abrechnungsdaten.............. 216 15.1.6.5 Die Verarbeitung von Nutzungsdaten zum Zweck der Werbung u. a. ....................................... 217
Inhaltsverzeichnis
15.2
15.3
XV
15.1.7 Auskunftspflicht gegenüber staatlichen Stellen und zur Durchsetzung von Urheberrechten....................................... 217 Exkurs: Die Haftung bei Angriffen auf das Online-Banking .......... 217 15.2.1 Einführung ........................................................................... 217 15.2.2 Das Online-Banking............................................................. 218 15.2.3 Die Vertragsbeziehungen beim Online-Banking ................. 218 15.2.4 Die klassischen Angriffsszenarien ....................................... 219 15.2.5 Die Haftung bei Angriffen auf das Online-Banking ............ 220 15.2.5.1 Der Primäranspruch ............................................... 220 a) Die Anspruchsgrundlage .................................. 220 b) Der Anscheinsbeweis ....................................... 220 15.2.5.2 Der Sekundäranspruch........................................... 222 a) Sorgfaltspflichten des Kunden im Hinblick auf die Sicherung seines PC ............................. 222 b) Erkennbarkeit eines Angriffs ........................... 223 15.2.5.3 Die Finanzagenten ................................................. 224 Konsequenzen für die Praxis des Datenschutzes............................. 224
16
Aktuelle Themen ............................................................................ 225 16.1 Die Haftung bei Verletzung des Bankgeheimnisses: das Verfahren Kirch gegen die Deutsche Bank............................... 225 16.2 Abtretungsverbot von Forderungen aus Bankgeheimnis oder Datenschutz? ................................................................................... 227 16.2.1 Keine Ableitung eines Abtretungsverbotes aus dem Bankgeheimnis..................................................................... 227 16.2.2 Kein Abtretungsverbot von Forderungen wegen Verstoßes gegen § 28 BDSG ............................................... 228 16.2.2.1 Kein Verstoß gegen § 28 BDSG bei der Abtretung Not leidender Forderungen ................... 228 16.2.2.2 Kein Abtretungsverbot gem. § 134 BGB bei Verstoß gegen § 28 BDSG..................................... 228 16.2.2.3 Die Anwendungskonkurrenz zwischen Datenschutz und Bankgeheimnis ........................... 230 16.3 Das Kreditscoring............................................................................ 230 16.4 Das Kontoabrufverfahren für Finanz- und Sozialbehörden gem. § 93 Abs. 7 und 8 § 93b AO i.V.m. 24c KWG....................... 233 16.5 Zugriff der Staatsanwaltschaft Halle auf Daten von Kreditkarteninhabern („Aktion Mikado“) ....................................... 236 16.6 Zugriff auf den internationalen Zahlungsverkehr (SWIFT) durch US-Behörden......................................................................... 237
17
Bewertung und Ausblick............................................................... 241
Literaturverzeichnis .............................................................................. 243
Teil I: Electronic Banking
1
Der Kontovertrag
Die Nutzung von Bankdienstleistungen über Multimedia-Medien beginnt bereits bei der Begründung der Geschäftsbeziehung zur Bank – dem Abschluss des Kontovertrags. Allerdings ist diese nicht problemlos möglich.
1.1 Vertragsabschluss über Fernkommunikationsmedien im Bankbereich Hinsichtlich des Abschlusses von Verträgen über Fernkommunikationsmedien im Bankbereich sind zwei Ebenen zu unterscheiden: Zunächst könnte bereits die Geschäftsbeziehung durch Abschluss eines Kontooder Depotvertrags über Fernkommunikationsmedien erfolgen. Darüber hinaus wäre daran zu denken, ergänzend Vereinbarungen über weitere Serviceleistungen über entsprechende Medien abzuschließen, unabhängig davon, ob auch die Rahmenvereinbarung in Form des Konto- oder Depotvertrags über das Internet zustande gekommen ist. Bei der Rahmenvereinbarung, durch die die Geschäftsbeziehung zwischen einer Bank und ihrem Kunden begründet wird, dem Konto- oder Depotvertrag, handelt es sich um ein Dauerschuldverhältnis, das als Geschäftsbesorgungsvertrag mit dienstvertraglichen Elementen gem. §§ 675, 611 BGB anzusehen ist.1 Der Kontovertrag kommt üblicherweise dadurch zustande, dass derjenige, der ein Konto oder Depot eröffnen will, ein entsprechendes Formular unterzeichnet, das als Antrag auf Abschluss eines Vertrags gem. § 145 BGB anzusehen ist. Nach Prüfung wird dieser vom Kreditinstitut, wenn es den Vertrag abschließen möchte, gem. § 147 BGB angenommen, so dass ein Konto- oder Depotvertrag zustande kommt.2 Es besteht jedoch grundsätzlich kein Anspruch auf Abschluss eines Kontovertrages, denn es ist jedem Kreditinstitut aufgrund des Grundsatzes der Vertragsfreiheit freigestellt, die Eröffnung eines Kontos oder Depots abzulehnen, wenn dies entwe1
BGH v. 04.07.1985 – III. ZR 144/84, BGH NJW 1985, 2699; BGH v. 24.01.1985 – IX.ZR 65/84; BGHZ 93, 315; Kümpel, Bank- und Kapitalmarktrecht, Rn. 4.133 ff.; Zur alten Rechtslage vor Einführung des § 676g BGB, die den Kontovertrag als Geschäftsbesorgungsvertrag mit dienstvertraglichen Elementen gem. §§ 675, 611BGB angesehen hat: BGH WM 1991, 318; BGH WM 1995, 2095; Hopt, in: Bankrechts-Handbuch, § 1 Rn. 38; Raiser, Das Recht der Allgemeinen Geschäftsbedingungen, 1935, 145.
2
Vgl. Werner in Hopt, Vertrags- und Formularbuch, IV. A. 1. Anm. 3, 940.
4
1 Der Kontovertrag
der mit Risiken verbunden oder unter wirtschaftlichen Gesichtspunkten nicht gewinnbringend ist.3 Daran hat auch § 676f BGB – die Regelung vertragstypischer Pflichten beim Girovertrag – nichts geändert, denn die darin begründete Pflicht des Kreditinstituts zur Einrichtung eines Kontos setzt einen Girovertrag voraus, auf dessen Abschluss kein Anspruch besteht. Allerdings ist durch die Diskussion über das „Girokonto für jedermann“ das Recht, den Abschluss eines Vertrags abzulehnen, gegenüber den Verbrauchern auf die Fälle beschränkt, in denen einer Bank ein solcher nicht zumutbar ist. Aus § 147 Abs. 2 BGB folgt, dass ein Antrag auch gegenüber einem Abwesenden abgegeben und von diesem angenommen werden kann, sodass es möglich ist, Verträge unter Vermittlung von Fernkommunikationsmedien abzuschließen. Dem steht auch das GWG nicht entgegen, denn gem. § 1 Abs. 5 S. 2 GWG ist die bei Kontoeröffnung erforderliche Identifizierung des Vertragspartners über eine elektronische Signatur, die den Anforderungen des § 2 Nr. 3 SiG genügt, zulässig. Damit ist die bisherige Notwendigkeit der Identifizierung unter Vorlage von Dokumenten hinfällig geworden.4
1.2 Identifizierung und Legitimation Neben der Identifizierung ist bei der Eröffnung von Konten, Depots oder dem Abschluss von Verträgen über Schließfächer eine Legitimationsprüfung gem. § 154 Abs. 2 AO erforderlich. Diese Regelung deckt sich mit den rechtlichen Anforderungen des Artikels 3 der Richtlinie 91 / 308 / EWG des Rates vom 10.06.1991 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche.5 Diese Richtlinie verpflichtet die EG-Mitgliedsstaaten dafür Sorge zu tragen, dass sich Kredit- und Finanzinstitute von ihren Kunden zur Überprüfung ihrer Identität ein beweiskräftiges Dokument vorlegen lassen müssen, sofern mit ihnen eine Geschäftsbeziehung begründet wird. Eine Rechtsänderung war zur Umsetzung der EU-Richtlinie nicht erforderlich, da die nach § 154 AO durchzuführende Identifizierung den Anforderungen der vorstehend bezeichneten Geldwäscherichtlinie genügte.6 Erforderlich ist danach, dass ein Kreditinstitut, das ein Konto oder Depot eröffnet, sich zuvor Gewissheit über die Person und die Anschrift des Verfügungsberechtigten zu verschaffen und die entsprechenden Angaben in geeigneter Form, bei Konten auf dem Konto, festzuhalten hat. § 1 Abs. 5 GWG enthält eine Legaldefinition für die Identifizierung, wonach darunter das Feststellen des Namens
3
Vgl. Liesecke, WM 1975, 214 (219); Schwintowski/Schäfer, § 2 Rn. 39; Hopt, HGB, (7) BankGesch A/6; Reifner, ZBB 1995, 243; Steuer, WM 1998, 439, a.A. jedoch Günnewig, ZIP 1992, 1670.
4
Vgl. zur alten Rechtslage Bruchner/Fischbeck in Bankrechts-Handbuch I., § 42 Rn. 125f.
5
ABl. EG Nr. L 166 vom 28.06.1991, 77.
6
Vgl. dazu Bruchner/Fischbeck in Bankrechts-Handbuch I., § 42 Rn. 125 ff.
1.2 Identifizierung und Legitimation
5
sowie des Geburtsdatums und der Anschrift aufgrund eines Personalausweises oder Reisepasses, soweit diese Angaben darin enthalten sind, und das Feststellen von Art, Nummer und ausstellender Behörde des amtlichen Ausweises zu verstehen sind. GWG und § 154 AO greifen ineinander, da § 1 Abs. 5 GwG bestimmt, was unter „Identifizieren“ zu verstehen ist. Die Voraussetzungen, wann eine solche Identifikation erforderlich ist, ergibt sich aus § 2 Abs. 1 S. 2 GWG i.V.m. § 154 Abs. 2 AO. Das GWG spielt bei der Kontoeröffnung jedoch insofern eine Rolle, als gem. § 8 GWG derjenige, der ein Konto oder Depot eröffnet, erklären muss, ob er für fremde oder eigene Rechnung handelt. Die Pflicht zur Legitimation selbst bleibt davon jedoch unberührt, diese ergibt sich – wie aufgezeigt – aus § 154 Abs. 2 AO.7 Unter Berücksichtigung, dass § 154 Abs. 2 AO lediglich vorschreibt, dass Kreditinstitute sich vor Kontoeröffnung Gewissheit über die Person und die Anschrift des potentiellen Kontoinhabers zu verschaffen haben, kann dazu auf § 1 Abs. 5 GWG zurückgegriffen werden, sodass auch eine Legitimation anhand einer qualifizierten elektronischen Signatur gem. § 1 Abs. 5 S. 2 GWG i.V.m. § 2 Nr. 3 SiG möglich ist. Es ist es zwar zulässig, Verträge über Fernmedien abzuschließen, so dass auch ein Kontovertrag über das Internet vereinbart werden könnte, doch erschweren geldwäsche- und abgaberechtliche Anforderungen einen solchen Vertragsabschluss. Nach den zivilrechtlichen Regelungen bedarf der Abschluss eines Kontooder Depotvertrags keiner bestimmten Form. Allerdings ergibt sich – wie bereits weiter oben dargelegt – aus §§ 1 Abs. 5, 8 GWG sowie aus § 154 Abs. 2 Satz 1 AO, dass vor Eröffnung eines Kontos eine Legitimation und Identifizierung des Kunden durchgeführt werden muss. Dabei sieht § 8 GwG vor, dass die Kreditinstitute ihre Kunden vor Eröffnung des Kontos zu befragen haben, ob sie für eigene oder fremde Rechnungen handeln, wobei die Bank jedoch nicht verpflichtet ist, die Identität einer eventuellen fremden Person zu überprüfen, sofern für fremde Rechnung gehandelt werden soll.8 Entscheidend ist jedoch, dass die Identität des Kunden, der ein Konto oder Depot eröffnen möchte, gem. § 1 Abs. 1 und Abs. 5 GwG anhand eines Personalausweises oder Reisepasses überprüft und festgehalten werden muss.9 Allerdings ist die Identifizierung auch unter Nutzung einer qualifizierten elektronischen Signatur gem. § 2 Nr. 3 SiG möglich. Aus § 154 Abs. 1 Satz 1 AO ergibt sich die Verpflichtung, die Identität desjenigen, der das Konto eröffnen möchte, festzuhalten, wobei hier jedoch weder ein „Personalausweis noch ein Reisepass erforderlich ist, es genügt die Identifizierung auf andere Weise“ und damit auch mittels elektronischer Signatur.10
7
Bruchner/Fischbeck in Bankrechts-Handbuch I., § 42 Rn. 182.
8
Vgl. Hoyer/Klos, Geldwäsche, 269; Aepfelbach in Fülbier/Aepfelbach, GwG, § 8 Rn. 7.
9
Vgl. von Rottenburg, WM 1997, 2381 (2383); Bruchner/Fischbeck in BankrechtsHandbuch I., § 42 Rn. 177.
10
Vgl. Schreiben des BAKred an das BMF vom 25.11.1993 – I. 5 – B 402-Fi.
6
1 Der Kontovertrag
Damit können Kunden auch über Fernmedien identifiziert werden, soweit sie über eine qualifizierte elektronische Signatur gem. § 2 Nr. 3 SiG verfügen. Außerdem ist die Eröffnung von Konten und Depots über Fernmedien im Hinblick auf die Identifizierung dann auch ohne elektronische Signatur möglich, wenn der Kunde bereits in Geschäftsbeziehung mit der Bank steht, im Rahmen dessen eine Legitimation bzw. Identifizierung erfolgt ist. In diesem Fall kann – wie sich aus § 7 GwG ergibt – auf eine erneute Identifizierung verzichtet werden. Im übrigen schließt § 1 Abs. 5 GwG und § 154 Abs. 2 AO nicht aus, dass ein Konto bereits vor Abschluss der Legitimationsprüfung eröffnet wird, allerdings muss diese unverzüglich nachgeholt und durchgeführt werden, bevor über das Konto verfügt werden kann.11 Allerdings vertrat das frühere BAKred – die jetzige BAFin – die Ansicht, dass die sich aus § 154 Abs. 2 AO ergebene Identifizierungspflicht auch unter Berücksichtigung des Anwendungserlasses zu § 154 AO nicht in vollem Umfange den Anforderungen an die Identifizierung nach § 1 Abs. 5 GwG genügte.12 Begründet wurde dies damit, dass ein Kreditinstitut gem. § 1 Abs. 5 GwG aufgrund eines Personalausweises oder Reisepasses den Namen sowie – sofern in den entsprechenden Dokumenten enthalten – das Geburtsdatum und die Anschrift des ihm gegenüber Auftretenden feststellen und die Ausweisdaten festhalten musste. Andere als die bezeichneten Dokumente genügten danach den Anforderungen an die Identifizierung nicht. § 154 Abs. 2 AO besagt über die Art der Durchführung der Legitimationsprüfung nichts. Aus Nr. 4 des dazu erlassenen Anwendungserlasses folgte, dass Gewissheit über die Person nur dann bestand, wenn der vollständige Name, Geburtstag und Wohnsitz des Verfügungsberechtigten bekannt waren. Aus der entsprechenden Formulierung konnte geschlossen werden, dass nach der Abgabenordnung eine hinreichende Identifizierung auch durch andere Legitimationsurkunden als Personalausweis oder Reisepass möglich war. Insofern lag nach Ansicht der Aufsichtsbehörde eine Diskrepanz zwischen § 154 Abs. 2 und § 1 Abs. 5 GWG vor. Aufgrund dessen hatte sie in der „Verlautbarung des Bundesaufsichtsamtes für das Kreditwesen über Maßnahmen der Kreditinstitute zur Bekämpfung und Verhinderung der Geldwäsche“ vom 30.03.1998 inklusive der Änderungen der Ziff. 41 ff der Verlautbarung vom 08.11.199913 verdeutlicht, dass bei der Neueröffnung von Konten oder Depots natürliche Personen ausschließlich gem. § 1 Abs. 5 GwG identifiziert werden können, entweder anhand eines Personalausweises oder anhand eines Reisepasses. Sofern bereits bei Eröffnung eines anderen Kontos eine Identifizierung erfolgt ist, ist es möglich, bei jeder weiteren Kontoeröffnung auf die förmliche Identifizierung, die bereits erfolgt ist, zurückzugreifen. Allerdings setzte dies voraus, dass eine förmliche Identifizierung nach
11
Vgl. Gößmann in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 2/36.
12
Vgl. das Schreiben des BAKred an das Bundesministerium der Finanzen vom 25.11.1993-I. 5– B402-Fi.
13
Zu finden im Internet unter www.bafin.de/verlautbarungen/gwg34fin.htm.
1.2 Identifizierung und Legitimation
7
§ 1 Abs. 5 GwG und nicht nach § 154 Abs. 2 AO erfolgt war. Mit der Neufassung des § 1 Abs. 5 GWG kommt jedoch die „qualifizierte elektronische Signatur“ als weitere Identifizierungsmöglichkeit hinzu, sodass es jetzt unter Einsatz dieser möglich ist, ein Konto auch unter Nutzung von Fernkommunikationsmedien zu eröffnen. Gleichwohl darf die Möglichkeit, einer entsprechenden Kontoeröffnung unter Einsatz der elektronischen Signatur nicht überschätzt werden, denn eine besondere Bedeutung kann ihr nur zukommen, wenn eine größere Anzahl von Konsumenten eine entsprechende qualifizierte elektronische Signatur besitzt. Da sich bisher jedoch für die große Mehrheit der Verbraucher die Attraktivität einer elektronischen Signatur noch nicht erschlossen hat, kann auf absehbare Zeit nicht mit einem allzu hohen Verbreitungsgrad gerechnet werden. Weiterhin ist, sofern eine Legitimation nicht gegenüber der kontoführenden Bank selbst – auch nicht mittels elektronischer Signatur – möglich ist, eine Identifizierung über zuverlässige Dritte, z. B. Korrespondenzbanken, Notare, Versicherungsunternehmen, die Lebensversicherungsverträge anbieten, die Deutsche Post AG, eine Botschaft oder ein Konsulat der EU-Staaten oder über sonstige zuverlässige Dritte möglich, sofern die Voraussetzungen des § 1 Abs. 5 GwG, also insbesondere die Vorlage eines Personalausweises oder Reisepasses, erfüllt werden können.14 Die Übertragung der Identifizierung auf Dritte setzt jedoch einen wichtigen Grund voraus, d. h. wenn es z. B. nicht möglich ist, denjenigen, der ein Konto eröffnen möchte, persönlich zu erreichen oder wenn die Bank keinen Filialbetrieb unterhält. Folglich ist eine Kontoeröffnung über das Internet auch dann möglich, wenn im Zuge des Post-Ident-Verfahrens die Legitimation durch einen entsprechend zuverlässigen Dritten erfolgt. Allerdings handelt es sich bei einem solchen Verfahren nicht wirklich um eine Kontoeröffnung über das Fernkommunikationsmedien, denn die damit verbundene Bequemlichkeit, sich insbesondere nicht in die Räumlichkeiten der Bank begeben zu müssen, entfällt letztendlich, da der potentielle Kunde sich zumindest zu dem zuverlässigen Dritten begeben muss. Dies ermöglicht zwar die Nutzung von Fernkommunikationsmedien zur Kontoeröffnung mit Online- oder Internetbanken, die keine Filialen unterhalten, oder mit Instituten, die nur einen eingeschränkten Filialbetrieb haben, eine Dienstleistung über Fernkommunikationsmittel ist dies jedoch nicht. Aufgrund der fehlenden Unmittelbarkeit ist eine briefliche Legitimationsprüfung nicht zulässig.15 Auch schon vor Änderung des § 1 Abs. 5 GWG war es möglich, Konten oder Depots über das Internet zu eröffnen, ohne dass Legitimation und Identifizierung über das Post-Ident-Verfahren oder aufgrund eines bereits bestehenden Vertrages
14
Vgl. zu diesem Verfahren Bruchner/Fischbeck in Bankrechts-Handbuch I., § 42 Rn. 125 ff.
15
Vgl. Bruchner/Fischbeck in Bankrechts-Handbuch I., § 42 Rn. 127.
8
1 Der Kontovertrag
erfolgen mussten. Gem. § 5 SiG 16 hat ein Zertifizierungsdiensteanbieter Personen, die ein qualifiziertes Zertifikat beantragen, zuverlässig zu identifizieren. Dabei muss der Zertifizierungsdiensteanbieter die Identifizierung des Antragstellers anhand eines Bundespersonalausweises oder Reisepasses oder auf andere geeignete Weise vornehmen, wie sich dies aus § 3 Abs. 1 der SigVO ergibt. Diesbezüglich hat das BAKred mit Schreiben vom 16.05.2001 an den Bundesverband deutscher Banken – Aktenzeichen: Z 5-B 399 – klargestellt, dass Banken bei Eröffnung eines Kontos oder Depots ihrer Verpflichtung zur Legitimationsprüfung und Identifizierung genügen, wenn sie auf die vom Zertifizierungsdiensteanbieter im Zusammenhang mit der Zuteilung eines qualifizierten Zertifikats erhobenen Identifizierungsdaten zurückgreifen.
16
BGBl I. 1997, 1870 ff, nunmehr novelliert durch das Gesetz über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer Vorschriften vom 16.05.2001, BGBl I. 2001, 876 ff.
2
Die Einbeziehung Allgemeiner Geschäftsbedingungen in den Bankvertrag
Von der Möglichkeit, ein Konto- oder Depot über das Internet zu eröffnen, ist die Frage zu trennen, ob und inwieweit es möglich ist, auf diesem Weg Allgemeine Geschäftsbedingungen wirksam in das Vertragsverhältnis einzubeziehen.
2.1 Voraussetzungen für die wirksame Einbeziehung Allgemeiner Geschäftsbedingungen in den Bankvertrag Aus den Anforderungen aus § 305 Abs. 2 BGB an die wirksame Einbeziehung Allgemeiner Geschäftsbedingungen in ein Vertragsverhältnis folgt die Verpflichtung, auf diese, sollen sie Vertragsbestandteil werden, im Zeitpunkt des Vertragsabschlusses ausdrücklich hinzuweisen und dem Vertragspartner die zumutbare Möglichkeit zur Kenntnisnahme zu verschaffen. In Ergänzung dazu sehen die Allgemeinen Geschäftsbedingungen der Privatbanken und der Sparkassen sowie der Volksbanken- und Raiffeisenbanken in Nr. 1 Abs. 1 vor, dass neben diesen Bedingungen selbst, die entsprechend den Anforderungen des § 310 Abs. 2 BGB in die Geschäftsbeziehung mit dem Kunden einbezogen werden, Sonderbedingungen – bei denen es sich ebenfalls um Allgemeine Geschäftsbedingungen handelt –, die Abweichungen oder Ergänzungen zu den Allgemeinen Geschäftsbedingungen enthalten, entweder bei Kontoeröffnung oder bei Erteilung eines entsprechenden Auftrags mit dem Kunden zusätzlich vereinbart werden müssen. Nr. 1 Abs. 1 der Allgemeinen Geschäftsbedingungen der Kreditinstitute legt jedoch lediglich den Geltungsbereich der AGB und der Sonderbedingungen fest. Aus Nr. 1 Abs. 2 ergibt sich deshalb weiterhin, dass der Kunde über Änderungen der Geschäftsbedingungen oder der Sonderbedingungen schriftlich unterrichtet werden muss. Er hat danach die Möglichkeit, innerhalb von sechs Wochen schriftlich diesen Änderungen zu widersprechen.17 Sollte mit dem Kunden ein elektronischer Kommunikationsweg vereinbart worden sein, können die Änderungen auch auf diesem Weg übermittelt werden, sofern der Kunde die Möglichkeit hat, die Änderungen in lesbarer Form zu speichern oder auszudrucken. 17
Vgl. Sonnenhol in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 1/11.
10
2 Die Einbeziehung Allgemeiner Geschäftsbedingungen in den Bankvertrag
2.2 Die wirksame Einbeziehung Allgemeiner Geschäftsbedingungen auf elektronischem Wege Um Allgemeine Geschäftsbedingungen wirksam in ein Vertragsverhältnis einzubeziehen, ist es erforderlich, deutlich auf diese hinzuweisen und es dem Vertragspartner zu ermöglichen, Kenntnis von diesen zu nehmen. Solche Voraussetzungen werden bei der Einbeziehung über elektronische Medien erfüllt, wenn ein deutlicher Hinweis auf die Allgemeinen Geschäftsbedingungen vor Vertragsabschluss und wie sie gelesen werden können, erfolgt.18 Dagegen ist es nicht ausreichend, wenn nicht im Zusammenhang mit dem konkreten Vertragsabschluss, sondern nur allgemein – z. B. lediglich auf einer Homepage – auf die Einbeziehung Allgemeiner Geschäftsbedingungen in den Vertrag Bezug genommen wird, da in einem solchen Fall kein unmittelbarer Zusammenhang zwischen dem Vertragsabschluss und dem Hinweis auf die Bedingungen besteht.19 Wird von einem elektronischen Formular, das über das Internet zur Verfügung gestellt wird, eine Verbindung zu den Allgemeinen Geschäftsbedingungen so hergestellt, dass diese gelesen werden können, ist dies vergleichbar mit der Verwendung eines Formulars bei Vertragsabschlüssen in papierhafter Form, in dem auf den Aushang der Bedingungen im Geschäftslokal und wie sie eingesehen werden können, deutlich hingewiesen wird.20 Die Voraussetzungen für die wirksame Einbeziehung von Geschäftsbedingungen in elektronischer Form entsprechen denjenigen, die an die Einbeziehung Allgemeiner Geschäftsbedingungen in Papierform gestellt werden.21 Allerdings müssen die medienspezifischen Besonderheiten berücksichtigt werden. Deshalb ist eine Einbeziehung längerer Bedingungswerke in nicht papierhafter Form in den Vertrag nicht möglich, wenn die elektronische Übermittlung unzumutbar lange dauert.22 Darüber hinaus ist von der Unzumutbarkeit zur Kenntnisnahme auch dann auszugehen, wenn es nicht möglich ist, die Texte herunter zu laden oder zu speichern.23 Schließlich wird auch die Ansicht vertreten, eine wirksame Einbeziehung von Allgemeinen Geschäftsbedingungen in Verträge über elektronische Medien sei aufgrund der nachträglichen Änderbarkeit grundsätzlich unzulässig.24 18
Vgl. Löhnig, NJW 1997, 1688.
19
Vgl. Mehrings, BB 1998, 2373f.
20
Vgl. OLG Nürnberg v. 21.03.1990 – 4 U 3979/89, WM 1990, 1370; Ulmer in: Ulmer Brandner/Hensen/Schmidt, AGB-Gesetz, § 2 Rn. 96; Gößmann in BankrechtsHandbuch I., § 55 Rn. 40.
21
Vgl. Mehrings, BB 1997, 2373 (2376); OLG Hamm v. 13.01.1997 – 13 U 104/96, NJW-RR 1998, 199.
22
Vgl. LG Freibung v. 16.05.1990 – 8 S 21/90, CR 1992, 93; LG Aachen v. 17.01.1991 – 6 U 18/90, NJW 1991, 2160; LG Wuppertal v. 16.05.1990 – 8 S 21/90, NJW-RR 1991, 1148; Ulmer in Ulmer/Brandner/Hensen/Schmidt, § 2 AGBG Rn. 49a.
23
Vgl. Ulmer in Ulmer/Brandner/Hensen/Schmidt, AGBG, § 2, Rn. 49a.
24
Vgl. Wolf/Horn/Lindacher, AGB, § 2, Rn. 24; Bultmann/Rahn, NJW 1998, 2434f.
2.2 Einbeziehung Allgemeiner Geschäftsbedingungen auf elektronischem Wege
11
Es wird jedoch zu differenzieren sein: Soweit die Möglichkeit besteht, Allgemeine Geschäftsbedingungen aus dem Internet herunter zuladen oder auszudrucken, liegt Unzumutbarkeit zumindest dann nicht vor, wenn entweder ein entsprechender Ausdruck oder ein gespeichertes Exemplar hinsichtlich der Lesequalität den gesetzlichen Anforderungen, wie sie auch an Formulare in Papierform gestellt werden, entspricht Deshalb müssen sie für einen Durchschnittskunden mühelos lesbar sein25. Wenn diese Voraussetzungen eingehalten werden, ist eine wirksame Einbeziehung von Allgemeinen Geschäftsbedingungen über Fernkommunikationsmedien möglich und zumutbar.26 Die Grundsätze zur Zumutbarkeit an die Lesequalität gelten nicht nur für Textausdrucke, sondern auch für über das Internet oder sonstige Fernkommunikationsmedien zur Verfügung gestellte Texte.27 Die Maßstäbe dürften sich jedoch auch nach dem Umfang entsprechender Bedingungswerke richten. Je kürzer und klarer diese sind, umso unproblematischer ist es, Allgemeine Geschäftsbedingungen über das Internet in ein Vertragswerk einzubeziehen.28 Ein weiteres Problem ergibt sich daraus, dass das Ausdrucken oder Herunterladen längerer Bedingungswerke den Anforderungen an eine wirksame Einbeziehung Allgemeiner Geschäftsbeziehungen über Fernkommunikationsmedien nur genügen kann, wenn der Adressat auch über die entsprechenden technischen Möglichkeiten verfügt. Es wird jedoch davon auszugehen sein, dass derjenige, der einen Vertrag über entsprechende Medien abschließt, üblicherweise über die Einrichtungen verfügt, sich Bedingungswerke zum intensiven Lesen und Aufbewahren ausdrucken oder auf sonstige Weise dauerhaft speichern zu können. Gegen die Vereinbarung von Allgemeinen Geschäftsbedingungen über Fernkommunikationsmedien spricht nicht, dass auf diesem Wege nicht sichergestellt werden kann, dass elektronisch übermittelte Texte unverändert bleiben, denn im Zweifelsfall muss der Verwender Allgemeiner Geschäftsbedingungen den Nachweis führen, dass der Text, auf den er sich zur Begründung seiner Ansprüche beruft, wirksam in die Vertragsbeziehung mit einbezogen worden ist. Gelingt ihm dieser Nachweis nicht, ist der Vertrag so zu behandeln, als habe es diese Vereinbarung nicht gegeben. Für das Vertragsverhältnis gelten dann die gesetzlichen Bestimmungen. Folglich spricht die mangelnde Manifestation von Allgemeinen
25
Vgl. BGH v. 30.05.1983 – II. ZR 135/82, NJW 1983, 2772, BGH v. 03.02.1986 – II. ZR 201/85, NJW-RR 1986, 1311; OLG Saabrücken v. 22.09.1987 – 2 U 135/85, NJWRR 1988, 858; Thamm/Detzer, BB 1989, 1133.
26
Vgl. Mehrings, BB 1998, 2373; Löhnig, NJW 1997, 1688.
27
Vgl. LG Freiburg v. 07.04.1992 – 9 S 139/90, NJW-RR 1992, 1018; OLG Köln v. 21.11.1997 – 19 U 128/97, NJW-RR 1998, 1277.
28
Vgl. LG Bielefeld v. 30.10.1991 – 1 S 174/90, NJW-RR 1992, 955; Brückner, OnlineBanking, 195f.
12
2 Die Einbeziehung Allgemeiner Geschäftsbedingungen in den Bankvertrag
Geschäftsbedingungen bei Einstellen in Online-Medien nicht grundsätzlich gegen die Möglichkeit, diese darüber zu vereinbaren.29 Außerdem ergibt sich aus Nr. 1 Abs. 2 AGB-Banken, dass Änderungen dieser oder von Sonderbedingungen dem Kunden schriftlich bekannt zu geben sind. Auch wenn mit der Schriftform danach nicht die Schriftform gem. §§ 126, 127 BGB gemeint ist,30 dürfte zumindest eine dauerhafte Verkörperung erforderlich sein. Allerdings stellt § 127 Abs. 2 Satz 1 die telekommunikative Übermittlung der Schriftform gleich. Damit dürfte die Diskussion über das Schriftform-Erfordernis bei einer Übermittlung von Bedingungsänderungen mittels E-Mail geklärt sein.31 In den AGB-Banken wurde dies nachvollzogen, in dem Nr. 1 Abs. 2 der AGBBanken die elektronische Übermittlung vorsieht, sofern die Parteien eine elektronische Kommunikation vereinbart haben und die Mitteilung in lesbarer Form gespeichert oder ausgedruckt werden kann. Durch das Überweisungsgesetz vom 21.07.199932 wurden – u. a. in § 675a Abs. 1 BGB – spezielle Informationspflichten eingeführt, die Kreditinstitute als Adressaten einzuhalten haben. Sie beziehen sich auf regelmäßig anfallende, standardisierte Geschäftsvorgänge („Standardgeschäfte“) und begründen die Verpflichtung, entweder schriftlich oder auf elektronischem Weg unentgeltlich Informationen über Entgelte und Auslagen der Geschäftsbesorgung zur Verfügung zu stellen, sofern die Preisfestsetzung nicht gem. § 315 BGB erfolgt oder Entgelte und Auslagen gesetzlich verbindlich festgelegt werden. Darüber hinaus müssen die Kreditinstitute zusätzlich Informationen über Ausführungsfristen, Wertstellungszeitpunkte, Referenzkurse von Überweisungen und weitere, durch die „Verordnung über Informations- und Nachweispflichten nach bürgerlichem Recht“ (BGB-InfoV) festgelegte Sachverhalte zur Verfügung stellen. Unter Berücksichtigung, dass diese Informationen nach dem Wortlaut des Gesetzes „in geeigneten Fällen auch elektronisch“ zur Verfügung gestellt werden können, ist es als zulässige Form der Bekanntgabe und Möglichkeit zur Einbeziehung in den konkreten Vertrag anzusehen, wenn das Preis- und Leistungsverzeichnis in das Internetangebot der Banken eingestellt wird. Ist es zulässig, auch derartige Informationen, die zwar nicht als Allgemeine Geschäftsbedingungen, wohl aber als Grundlage der Vertragsbeziehung anzusehen sind, elektronisch in einen Vertrag mit einzubeziehen, spricht – auch unter Berücksichtigung des § 127 Abs. 2 Satz 1 BGB – nichts dagegen, Allgemeine Geschäftsbedingungen ebenfalls
29
Hoeren in Hadding/Hopt/Schimansky, Einführung des Euro in der Bank- und Unternehmenspraxis -Bankdienstleistungen im Internet, Bankrechtstag 1997, 178; Waldenberger in Hoeren/Sieber, Handbuch Multimediarecht, Teil 13.4, Rn. 41 ff.
30
Vgl. Sonnenhol in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 1/23, wonach die Unterrichtung auch mittels Kontoauszugsdrucker möglich ist, wobei der Kontoauszug nicht unterschrieben werden muss.
31
Zur Diskussion vgl. Hoffmann, NJW-Beilage zu Heft 14/2001, 11.
32
BGBl I., 1999, 1642.
2.3 Sonderbedingungen für Bankgeschäfte über elektronische Medien
13
über das Internet oder vergleichbare Fernkommunikationsmedien zu einem Vertragsbestandteil zu machen. § 675a BGB verlangt nicht nur ein „Informieren“, sondern auch ein „Zurverfügungstellen“. Dem Nutzer muss folglich die Möglichkeit eingeräumt werden, die entsprechenden Informationen ausdrucken oder wenigstens abzuspeichern zu können. Dieses gesetzlich vorgegebene Erfordernis spricht nicht gegen die Übertragung des dem § 675a BGB zugrunde liegenden Rechtsgedankens auf die Vereinbarung Allgemeiner Geschäftsbedingungen über das Internet oder ähnliche Fernkommunikationsmedien, da auch hier – wie bereits ausgeführt – eine Einbeziehung in ein Vertragsverhältnis erfordert, dass der Adressat diese Bedingungswerke abspeichern oder wenigstens herunterladen kann.33 Dies steht auch in Übereinstimmung mit dem am 01.06.2000 in Kraft getretenen Fernabsatzgesetz, wonach vorvertragliche Informationspflichten nur dann als verwirklicht gelten, wenn der Verbraucher über die elektronisch bereit gestellten Informationen dauerhaft aufgrund eines Ausdrucks oder eines Abspeicherns verfügen kann. Zwar findet dieses Gesetz keine unmittelbare Anwendung auf die Kreditwirtschaft, seine Grundsätze können jedoch bei Beantwortung der Frage herangezogen werden, ob und in welchem Umfange Allgemeine Geschäftsbedingungen über das Internet in Verträge einbezogen werden können.
2.3 Sonderbedingungen für Bankgeschäfte über elektronische Medien Neben der Problematik der Einbeziehung von Allgemeinen Geschäftsbedingungen über das Internet in Verträge gibt es Spezialbedingungen für „Online-Geschäfte“. Die deutsche Kreditwirtschaft hat dazu für die in Betracht kommenden Verfahren verschiedene Bedingungswerke entwickelt. Zum einen handelt es sich dabei um die Online-Banking-Bedingungen, die eine Rahmenvereinbarung über den Zugangskanal zu Bankgeschäften über Online-Banking-Medien darstellt, zum anderen gibt es die Homebanking-Bedingungen, die den entsprechenden Rahmen für Bankgeschäfte im Homebanking-Verfahren festlegen.34 Die Online-Banking- und die Homebanking-Bedingungen, die hinsichtlich der Legitimationsverfahren Unterschiede aufweisen, denn während das Online-Banking-Verfahren auf der Verwendung von PIN und TAN beruht, erfolgt der Zugang zum Homebanking durch elektronische Signaturen,35 haben strukturelle Gemeinsamkeiten. Dabei ist zu beachten, dass sich weder die Online-Banking- noch die Homebanking-Bedingungen auf neue Bankprodukte beziehen, sondern lediglich spezielle Zugangswege zu den 33
Vgl. dazu auch Hoffmann, NJW-Beilage zu Heft 14/2001, 10 m.w.N.
34
Zu diesem Verfahren vgl. Werner in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 19/1 ff; Gößmann in Bankrechts-Handbuch, § 55, Rn. 1 ff. Zu den Zugangsverfahren vgl. Werner in Hellner/Steuer, Bankrecht und Bankpraxis Rn. 19/34 ff und 19/90.
35
14
2 Die Einbeziehung Allgemeiner Geschäftsbedingungen in den Bankvertrag
Bankdienstleistungen regeln, die durch die entsprechenden Sonderbedingungen ergänzt werden. Von den technischen Besonderheiten einmal abgesehen, bestehen rechtliche Gemeinsamkeiten. Charakteristisch für beide Vertragswerke ist letztlich eine Vermischung normativ regelnder Elemente mit Beschreibungen, wie die über das Online- und das Homebanking angebotenen Dienstleistungen in Anspruch genommen werden können. Hinsichtlich des Leistungsangebotes sind die Bedingungswerke offen ausgestaltet und erlauben es den einzelnen Kreditinstituten unter Berücksichtigung der im Zusammenhang mit den einzelnen Bankdienstleistungen stehenden Risiken, diese erst dann in das Online-Banking-Angebot mit einzubeziehen, wenn sichergestellt ist, dass durch das Online-Banking-Verfahren die produktimmanenten Risiken nicht erhöht werden.36
2.4 Risikoverteilung Zum Kernregelungsgehalt der Online-Banking-Regelungen gehören die Beschreibung der mit den Verfahren verbundenen Risiken sowie die vom Teilnehmer am Verfahren einzuhaltenden Sorgfaltspflichten. Insbesondere die Online-BankingBedingungen der deutschen Kreditwirtschaft enthalten eine ausführliche Beschreibung des auf PIN- und TAN beruhenden Sicherungsverfahrens und konkretisieren die Sorgfaltsanforderungen, damit der Online-Teilnehmer weiß, wie er mit seinen Legitimations-Medien – PIN und TAN – verfahren muss, damit es nicht zu einer missbräuchlichen Nutzung seines Online-Banking-Anschlusses kommen kann.37 Durch die zu den Online-Banking-Bedingungen ausgegebene Verfahrensanleitung erfüllt das Online-Verfahren anbietende Kreditinstitut seine Aufklärungspflichten.38 Durch die entsprechende Aufklärung kann das Kreditinstitut jedoch das Missbrauchsrisiko nur dann reduzieren, wenn es gleichzeitig im Rahmen des technisch Machbaren und wirtschaftlich Zumutbaren alles unternimmt, um eine Überwindung des Sicherheitssystems auszuschließen.39 Hat es diese Verpflichtungen eingehalten und den Online-Banking-Teilnehmer mit der Verfahrensanleitung, die zu den Bedingungen gehört oder in die Bedingungen selbst integriert ist, auf die Risiken und die einzuhaltenden Sorgfaltspflichten hingewiesen, begründet der Einsatz der Legitimationsmedien keine Beweislastumkehr, wohl aber den Beweis des ersten Anscheins dafür, das entweder der Berechtigte selbst verfügt oder durch 36
37
38 39
Vgl. dazu ausführlich Winkler in Spindler, Vertragsrecht der Internet-Provider, Kapitel VI. Rn. 60 ff; Gößmann in Bankrechts-Handbuch I. § 55 Rn. 12; Werner in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 19/34 ff. Zu den Online-Banking-Bedingungen vgl. Werner in Hellner/Steuer Bankrecht und Bankpraxis, Rn. 19/34 ff; Gößmann in Bankrechts-Handbuch I., § 55 Rn. 12 ff. Vgl. Gößmann in Bankrechts-Handbuch I., § 55 Rn. 21. BGH NJW 1974, 849; Hellner Rechtsfragen des Zahlungsverkehrs unter besonderer Berücksichtigung des Bildschirmtextverfahrens, in FS Werner, 1984, 251 (260); Reiser, WM 1986, 1401 (1403).
2.4 Risikoverteilung
15
eine Sorgfaltspflichtverletzung schuldhaft zum Missbrauch der ihm überlassenen Legitimations- und Zugangsmedien beigetragen hat.40 Teilweise werden die Folgen der rechtsmissbräuchlichen Nutzung dem Kunden über die Grundsätze der Anscheinsvollmacht zugerechnet. Da der unberechtigte Benutzer verschiedene Sicherungshürden überwinden muss, um im Namen des Online-Banking-Teilnehmers Aufträge erteilen zu können, folgt aus dem Einsatz dieser Medien, sofern das Sicherungssystem mit einem vertretbaren technischen Aufwand nicht überwunden werden kann, dass die missbräuchliche Verwendung ihre Ursache in der Sphäre des Anschlussinhabers haben muss.41 Daraus wird abgeleitet, dass der Online-Banking-Teilnehmer dadurch einen zurechenbaren Grund für das Handeln des Unberechtigten gesetzt haben muss und damit nach Rechtsscheingesichtspunkten für dessen Handeln einzustehen haben soll.42 Das Kreditinstitut soll darauf vertrauen dürfen, dass der Handelnde die Anforderungen der Online-Banking-Bedingungen einhält und folglich sorgfaltspflichtwidrig gehandelt haben muss, wenn es trotzdem zu einer missbräuchlichen Erteilung von Aufträgen kommen sollte.43 Nichts anderes gilt für den Zugang zu Bankdienstleistungen über das Homebanking-Verfahren.44 Auch wenn sich das Homebanking-Verfahren hinsichtlich seiner Sicherheitstechnologie ganz erheblich vom Online-Banking-Verfahren unterscheidet,45 ist die rechtliche Struktur der Homebanking-Bedingungen mit den sich daraus für die Beteiligten ergebenden Rechten und Pflichten nicht grundsätzlich 40
Zur entsprechenden Problematik beim Anscheinsbeweis im ec-System: LG Köln v. 20.09.1994 – 11 S 338/92, WM 1995, 976 ff = WuB I. D5.c-3.96 Ahlers; AG Diepholz v. 06.09.1995 – 2 C 354/95 I, WM 1995, 1919 ff = WuB I. D5c.-1.96 Hertel; AG Schöneberg v. 09.09.1996 – 8 C 258/96, WM 1997, 66 f = WuB I. D5c.-2.97 Werner; AG Hannover v. 21.06.1996 – 537 C 3553/96, WM 1997, 64f = WuB I. D5c.-2.97 Werner; AG Frankfurt a.M. v. 03.02.1994 – 32 C 3336/94-19, WM 1995, 880 = WuB I. D5c.2.97 Salje; AG Wuppertal v. 10.04.1997 – 35 C 351/96, WM 1997, 1209 ff = WuB I. 5c.-3.97 Aepfelbach/Cimiotti; AG Hannover, WM 1997, 1207 ff = WuB I. D5c.-3.97 Aepfelbach/Cimiotti; AG Charlottenburg v. 13.08.1997 – 76 C 280/97, WM 1997, 2082 ff = WuB I. D5c.-1.98 Werner; AG Frankfurt v. 31.10.1997 – 30C 1299/97 – 47, 30 C 1299/97, NJW 1998, 687f; AG Osnabrück v. 24.10.1997 – 47 C 335/97, NJW 1998, 688f; AG Dinslaken v. 29.04.1998 – 8 C 92/98, WM 1998, 1126 ff; Werner, WM 1997, 1516 ff; BGH WM 2004, 2309, 2310f. = BGH BKR 2004, 493 m. Anm. Strube und Werner zur Anwendung dieser Grundsätze auf das Online-Banking: OLG Köln v. 24.10.1997 – 47 C 335/97, VersR. 1993, 840; von Rottenburg, WM 1997, 2381 (2391).
41
Vgl. Borsum/Hoffmeister, NJW 1985, 1205 (1206); Brückner, Online-Banking, 75 ff.
42
Vgl. Gößmann in Bankrechts-Handbuch I., § 55 Rn. 26.
43
Vgl. LG Koblenz v. 17.09.1990 – 3 S 78/90, NJW 1991,1360; Redeker, NJW 1984, 2390 (2393).
44
Zum Homebanking-Verfahren vgl. Stockhausen, WM 2001, 605 (605 ff); Gößmann in Bankrechts-Handbuch I., § 55 Rn. 27 ff; Werner in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 19/92 ff.
45
Zu den Unterschieden vgl. Stockhausen, WM 2001, 606 ff.
16
2 Die Einbeziehung Allgemeiner Geschäftsbedingungen in den Bankvertrag
anders als die Online-Banking-Bedingungen – von den verfahrensspezifischen Unterschieden einmal abgesehen.46 Aufgrund dessen gelten für diese Bedingungen die Ausführungen zu den Online-Banking-Bedingungen entsprechend, d. h. auch hier dienen die Bedingungen inklusive einer dazu herausgegebenen Verfahrensanleitung dazu, das Sicherheitsverfahren zu beschreiben, um den Teilnehmer dadurch über die verfahrensspezifischen Risiken aufzuklären und ihn gleichzeitig dazu anzuhalten, mit den ihm überlassenen Medien so sorgfältig umzugehen, dass ein Missbrauch durch Unberechtigte ausgeschlossen werden kann. Die Struktur der Online-Banking- und der Homebanking-Bedingungen ist für Bedingungswerke, die Zugänge zu Internet-Dienstleistungen im Bankgeschäft regeln, typisch, da im Vordergrund nicht nur die Regelung der Risikoverteilung, sondern auch die Aufklärung über Verfahrensrisiken steht, ohne die es nicht möglich wäre, die Teilnehmer zu besonderer Sorgfalt anzuhalten. Während im normalen Bankgeschäft ein unmittelbarer Kontakt zwischen Bank und Kunde besteht, kommt ein solcher bei über Online-Medien vermittelten Geschäften – mit Ausnahme des Abschlusses des Rahmenvertrags – in der Regel nicht zustande. Dies bedeutet, ein ein solches Verfahren anbietendes Kreditinstitut hat keine Möglichkeit zu überprüfen, ob auch tatsächlich sein Kunde, mit dem es die Rahmenvereinbarung über den Zugang durch Online-Medien abgeschlossen hat, gehandelt hat. Folglich kann es nur anhand der Legitimationsmedien, die es seinem Kunden für die Nutzung des Online-Banking-Services überlassen hat, überprüfen, ob diese eingesetzt worden sind und dies als Indiz dafür angesehen werden kann, dass der Kunde und kein Dritter gehandelt hat. Es besteht also keine Möglichkeit, unmittelbar zu überprüfen, ob der Online-Banking-Teilnehmer selbst tatsächlich einen Auftrag erteilt hat. Aufgrund dessen ist das Kreditinstitut darauf angewiesen, dass sein Kunde mit den Zugangsmedien, die es ihm überlassen hat, sorgfältig umgeht und der Einsatz dieser folglich als Nachweis dafür anzusehen ist, dass auch tatsächlich der Bankkunde gehandelt hat. Um die sich aus einem solchen mittelbaren Zugang ergebenden Risiken zu minimieren, ist es neben der hochgradigen Sicherheit eines solchen Verfahrens auch erforderlich, dass der Bankkunde für die Risiken der Verfahren sensibilisiert wird und weiß, wie er sich zu verhalten hat, um die dem Verfahren immanenten Risiken möglichst gering zu halten. Dazu gehört eine umfassende Aufklärung über Missbrauchsmöglichkeiten sowie eine Beschreibung, wie die Legitimationsmedien einzusetzen und aufzubewahren sind, damit es nicht zu einem Missbrauch kommen kann. Dies spiegelt sich in den verschiedenen Bedingungswerken der OnlineBanking-Verfahren wider. Entweder gehört zu ihnen eine Verfahrensanleitung oder eine solche ist sogar in die Bedingungswerke selbst integriert. Gleichzeitig muss auch über die Sorgfaltspflichten im Zusammenhang mit der Aufbewahrung der Legitimationsmedien aufgeklärt und auf die Konsequenzen eines Missbrauchs 46
Vgl. zu den Homebanking-Bedingungen Werner in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 19/120 ff; Gößmann in Bankrechts-Handbuch I. § 55 Rn. 35; Stockhausen, WM 2001, 605 (611 ff).
2.4 Risikoverteilung
17
hingewiesen werden. Diesen Anforderungen werden die beschriebenen Bedingungswerke gerecht, wobei die Pflichten eines Kreditinstituts zur Aufklärung umso weitgehender sind, je komplizierter Sicherheitsverfahren sind und umso größere Missbrauchsrisiken bestehen. Gerade die Bedeutung der Aufklärung legt es nahe, Online-Banking-Bedingungen möglichst außerhalb des Online-Banking-Verfahrens zu vereinbaren, selbst wenn dies – wie aufgezeigt – rechtlich nicht erforderlich ist.47 Da im Bereich der Kreditwirtschaft über Online-Medien nicht nur einzelne, sondern eine Vielzahl von Bankdienstleistungen angeboten werden, gibt es – wie aufgezeigt – verschiedene produktunabhängige Rahmenbedingungen, wie die Online-Banking- und die Homebanking-Bedingungen, die die Zugangswege zum Kreditinstitut regeln. Es handelt sich bei ihnen um Rahmenbedingungen, durch die die Sonderbedingungen für die einzelnen Bankdienstleistungen ergänzt werden.
47
Vgl. im Überblick bei Hoffmann, NJW-Beilage Heft 14/2001, 10 ff.
3
Der Internet-Einzelvertrag
3.1 Die Bedeutung von Rahmenvereinbarungen Wie bereits ausgeführt, wird im Bankbereich der Internet-Einzelvertrag durch Rahmenvereinbarungen, wie die Online-Banking- oder Homebanking-Bedingungen, geprägt. Der Bankkunde kann zwar einzelne Aufträge – z. B. Zahlungsaufträge oder Wertpapierorder – über das Internet erteilen, so dass ein Internet-Einzelvertrag zustande kommt, doch wird der Rahmen dafür durch die entsprechenden Bedingungswerke geprägt, die den Zugangskanal über das Online-Medium zur Bank, über den dann Einzelaufträge erteilt werden können, regelt. Allerdings lässt eine solche Rahmenvereinbarung die sich aus dem Einzelgeschäft ergebenden Rechte und Pflichten zumindest insoweit unberührt, als die für das spezielle Bankprodukt jeweils zusätzlich bestehenden Aufklärungspflichten auch dann eingehalten werden müssen, wenn der Zugang durch einen Online-Kanal vermittelt wird. Gleichwohl können sich daraus Modifikationen für diese Pflichten ergeben. Sofern Dienstleistungen von der deutschen Kreditwirtschaft über Fernkommunikationsmedien angeboten werden, gibt es dafür – wenn es sich nicht ausnahmsweise um Individualvereinbarungen handelt – als Allgemeine Geschäftsbedingungen anzusehende „Rahmenvereinbarungen“, die Allgemeine Regelungen und Rechtsgrundsätze für den Internet-Einzelvertrag festlegen. Wie bereits dargestellt, handelt es sich dabei um die „Online-Banking-Bedingungen“ sowie die „HomebankingBedingungen“, die der Bankkunde, der das Internet-Dienstleistungsangebot in Anspruch nehmen möchte, mit seinem Kreditinstitut als Grundlagenvereinbarung abschließen muss. Diese Rahmenvereinbarung enthält alle wesentlichen, zur Inanspruchnahme der Bankdienstleistung über den speziellen Zugangskanal erforderlichen Rahmenbedingungen, die ihrerseits wieder die Sonderbedingungen ergänzen, die für die jeweilige konkrete Bankdienstleistung – unabhängig vom Zugangskanal – gelten. Diese Bedingungen, die den Rahmen für Internet-Einzelverträge darstellen, wiederum gehen auf Rahmenvereinbarungen der deutschen Kreditwirtschaft zurück, die die entsprechenden Bedingungen entwickelt hat und als Empfehlung den Kreditinstituten zur Vereinbarung mit ihren Kunden zur Verfügung stellt.
3.2 Die Pflichten der Bank 3.2.1
Das Ineinandergreifen verschiedener Bedingungswerke
Während das Online-Banking auf das Bildschirmtext (= Btx) -Verfahren zurückzuführen ist, ist Grundlage des Homebanking-Verfahrens das Homebanking-
20
3 Der Internet-Einzelvertrag
Abkommen.48 Damit gelten für Internet-Bankdienstleistungen aufeinanderbezogene, miteinander verzahnte Bedingungswerke. Der eine Online-Dienstleistung in Anspruch nehmende Bankkunde schließt zunächst mit seinem Kreditinstitut einen Konto- oder Depotvertrag ab, dessen wesentlicher Inhalt – neben den leistungsspezifischen Regelungen – die Einbeziehung der Allgemeinen Geschäftsbedingungen der Banken bildet.49 Neben den giro- oder depotvertraglichen Regelungen mit Einbeziehung der Banken-AGBs gelten ergänzend zu den jeweiligen Bedingungen für die jeweiligen Zugangskanäle die Sonderbedingungen für die einzelnen Bankprodukte.50 Aus diesem Nebeneinander verschiedener Bedingungswerke ergeben sich die eigentlichen Rechte und Pflichten der an einem Internet-Vertrag Beteiligten. Die Grundlage der Geschäftsbeziehung wird in den Allgemeinen Geschäftsbedingungen der jeweiligen Bank, ergänzt um die Regelungen des Konto- oder Depotvertrags, festgelegt. Soweit die mit einer Konto- oder Depotführung verbundenen Dienstleistungen über einen Online-Banking-Kanal zur Verfügung gestellt werden, werden die mit diesem Zugangskanal verbundenen besonderen Rechte und Pflichten durch die entsprechenden Bedingungen – d. h. in erster Linie die Online-Banking- oder Homebanking-Bedingungen – geregelt. Sofern der Zugangskanal die Inanspruchnahme bestimmter Bankdienstleistungen oder den Erwerb bestimmter Bankprodukte ermöglicht, die ihrerseits in Sonderbedingungen geregelt sind, gelten diese wiederum als speziellere Bedingungen, die sowohl den Allgemeinen Geschäftsbedingungen der Banken als auch den Online-Banking oder Homebanking-Bedingungen vorgehen. Aus dem Zusammenspiel dieser verschiedenen Bedingungswerke ergibt sich der konkrete Einzelvertrag.
3.2.2
Die Weitergeltung allgemeiner Pflichten aus dem Bankvertrag
Durch den entsprechenden Zugangskanal werden die Rechte und Pflichten der Beteiligten bezüglich der Grundlage der Geschäftsbeziehung oder des jeweiligen Produktes im Grundsatz nicht modifiziert. Soll es durch den Zugangskanal zu Modifikationen kommen – zu denken ist in diesem Zusammenhang insbesondere daran, dass bei Nutzung eines Online-Zugangskanals die Erfüllung der einer Bank 48
Zu den Verfahren vgl. Kümpel, Bank- und Kapitalmarktrecht, Rn. 4.651 ff und Rn. 4.740 ff; Gößmann Bankrechts-Handbuch I., 2. Auflage 2001, § 55 Rn. 12 ff und Rn. 27 ff; Werner in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 19/25 ff und 19/90 ff; speziell zum Homebanking: Stockhausen, WM 2001, 605, (611 ff).
49
Vgl. dazu Werner in Hopt, Vertrags- und Formularbuch, IV. A.1. Anm. 7, 943; Gößmann in Bankrechts-Handbuch I., § 55 Rn. 15; Schneider, Die Geschäftsbeziehung der Banken mit ihren Kunden auf dem Wege des Bildschirmtextes, Bankrechtliche Sonderveröffentlichungen des Instituts für Bankwirtschaft und Bankkredit an der Universität Köln, 1990.
50
Werner in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 19/36.
3.2 Die Pflichten der Bank
21
obliegenden Pflichten zur anlage- und anlegergerechten Beratung51 aufgrund des fehlenden unmittelbaren Kontaktes zwischen den Vertragsparteien nicht oder nur schwer möglich ist. Aufgrund dessen ist es denkbar, dass das jeweilige Kreditinstitut über die bezeichneten Vertragswerke hinaus mit seinen Kunden Sonderbedingungen für das Online-Banking im Hinblick auf normalerweise beratungsintensive Bankdienstleistungen abschließt und seine Pflichten im zulässigen Rahmen auf ein absolutes Minimum reduziert oder – soweit möglich – gänzlich ausschließt. Individuelle Beratungspflichten können dadurch entfallen, dass beim Angebot einer entsprechenden Dienstleistung deutlich darauf hingewiesen wird, dass sich dieses nur an gut informierte und erfahrene Anleger wendet und eine Aufklärung nur über die zur Verfügung gestellten standardisierten allgemeinen Informationen, jedoch ohne individuelle Hinweise, erfolgt.52 Dadurch kann die Verpflichtung zur anlegergerechten Beratung praktisch ausgeschlossen werden. Möchte ein Kreditinstitut gleichzeitig auch seine Verpflichtungen zur anlegergerechten Beratung auf das zulässige Minimum reduzieren, ist es erforderlich zu verdeutlichen, dass eventuell von Dritten übernommene Informationen und Hinweise weder auf ihre inhaltliche Richtigkeit noch Vollständigkeit überprüft worden sind. Das Kreditinstitut, das eine entsprechende Dienstleistung anbietet, muss zum Ausdruck bringen, dass es das entsprechende Produkt nicht geprüft hat und sich folglich mit diesem auch nicht auskennt.53 Allerdings wird ein Kreditinstitut dadurch nicht von den Aufklärungspflichten entbunden, die sich ergeben können, wenn es gegenüber seinen Anlegern einen Wissensvorsprung hat und ihm bekannt ist, dass die von ihm ungeprüft übernommen Informationen unvollständig oder unrichtig sind.54 Ein entsprechender Wissensvorsprung entbindet das Kreditinstitut nicht von seiner Hinweispflicht, wenn übernommene Informationen von Drittproduzenten unrichtig oder unvollständig sind. Bezogen auf die eigenen Produkte kann sich ein Kreditinstitut auch beim Angebot über das Internet zumindest nicht seiner Verpflichtung zur anlagegerechten Beratung entziehen. Hier gilt – wie bei allen sonstigen Informationen und Unterlagen –, dass alle Chancen und Risiken eines Bankprodukts vollständig und richtig über die jeweiligen Online-Medien zur Verfügung zu stellen sind und kein Faktor unberücksichtigt bleiben darf, der für die Anlageentscheidungen eines Interessenten von Relevanz sein kann. Wird jedoch beim Angebot von Produkten über Online-Medien deutlich darauf hingewiesen, dass weder eine individuelle Beratung des Anlegers erfolgt noch eventuell angebotene Fremdprodukte geprüft wurden, scheidet eine Haftung we-
51
Zum Umfang der Anlageberatung einer Bank vgl. von Heymann/Merz, Bankenhaftung bei Immobilienanlagen, 33 ff; Kümpel, Bank- und Kapitalmarktrecht, Rn. 16.556; WM 1993, 1455, 1456; WM 1982, 90; Horn, WM 1998, 1, 4; ders. ZBB 1997, 1430, 1434.
52
BGH v. 05.10.1999 – XI. ZR 296/98, DB 1999, 2508.
53
Vgl. BGH v. 05.10.1999 – XI. ZR 296/98, DB 1999, 2508.
54
Zu den entsprechenden Aufklärungspflichten beim Darlehensvertrag vgl. BGH v. 08.10.1991 – XI. ZR 259/10, WM 1991, 1984.
22
3 Der Internet-Einzelvertrag
gen Pflichtverletzung gem. §§ 280 ff BGB aus55, soweit das Kreditinstitut hinsichtlich einzelner Produkte keinen Wissensvorsprung hat oder es Beratungsleistungen anbietet, obwohl es solche ausdrücklich nicht in das Angebot mit aufgenommen hat. Darüber hinaus darf ein Kreditinstitut, das für die von ihm angebotenen Produkte oder Dienstleistungen auf keinen Fall einstehen möchte, durch die Art der Gestaltung des Internet-Angebots nicht den Eindruck erwecken, es würde nur geprüfte und qualitativ hochwertige Produkte anbieten, soweit es sich um Fremdprodukte handelt. Generell dürfte der Grad, auf dem sich ein Kreditinstitut bei Angeboten ohne Beratung über Online-Medien bewegt, im Hinblick auf den Ausschluss von Haftungsrisiken sehr schmal sein. Es ist zwar möglich, durch entsprechende Hinweise klarzustellen, dass weder eine individuelle Beratung erfolgt noch die über das Internet vertriebenen oder vermittelten Produkte geprüft wurden, um die Beratungshaftung dem Grunde nach auszuschließen. Jedoch muss gleichzeitig auch dafür Sorge getragen werden, dass durch die sonstige Gestaltung des Angebots nicht der Eindruck erweckt wird, die Produkte seien anlegerindividuell ausgewählt oder vom anbietenden Institut sorgfältig geprüft und ausgewählt worden. Letztlich kann nicht ausgeschlossen werden, dass allein schon in der Auswahl der Produkte ein Hinweis auf deren Qualität zu sehen ist. Darüber hinaus wird das Kreditinstitut zumindest dann für fehlerhafte Produkte einzustehen haben, wenn deren Mangelhaftigkeit für dieses selbst offensichtlich oder zumindest anderweitig bekannt war. Auch kann nicht ausgeschlossen werden, dass ein Kreditinstitut – trotz entsprechender Hinweise – aufgrund einer unterlassenen Prüfung mit der Begründung in Anspruch genommen werden kann, es hätte aufgrund der ihm bekannten Information feststellen müssen, die angebotenen Produkte und Dienstleistungen seien mit Schadensrisiken behaftet. Darüber hinaus ist es – wie bereits ausgeführt – beim Angebot von Dienstleistungen über Online-Medien nicht möglich, für eigene Produkte oder Dienstleistungen die Verpflichtung zur anlagegerechten Beratung auszuschließen, da die Anforderungen an Informationspflichten über Online-Medien keine anderen sind als beim Angebot über andere Kanäle.56
55
Zur Haftung aus pVV nach früherem Recht vgl. OLG Frankfurt v. 04.10.1994 – 8 U 102/94, WM 1994, 2106 und OLG Köln v. 18.02.1994 – 19 U 195/93, WM 1995, 381.
56
Zu den entspr. Pflichten im Zusammenhang mit Wertpapierdienstleistungen vgl. Kümpel, Bank- und Kapitalmarktrecht, Rn. 16.554 ff; Eisele in Bankrechts-Handbuch II., § 109 Rn. 18 ff; Hopt, Der Kapitalanlegerschutz im Recht der Banken, 1975; Schwark, Die Verhaltensnormen der §§ 31 ff WPHG, Bankrechtstag 1995; Horn, ZBB 1994, 130 (139 ff); Köndgen, ZBB 1996, 361; bei den entspr. Beratungspflichten außerhalb des Wertpapierbereichs vgl. von Heymann/Merz, Bankenhaftung bei Immobilienanlagen, 33 ff im Zusammenhang mit Immobilienanlagen sowie m.w.N.
3.3 Die Nachweisproblematik des Vertragsabschlusses
23
3.3 Die Nachweisproblematik des Vertragsabschlusses und das Missbrauchsrisiko 3.3.1
Die Nachweisproblematik
Bezüglich des Online-Einzelvertrags besteht nicht nur das Problem der Einbeziehung einer Vielzahl verschiedener Bedingungswerke, sondern im Zusammenhang damit kommt auch der Frage des Nachweises des Vertragsabschlusses eine entscheidende Rolle zu. Die Nachweisproblematik spielt auch im Zusammenhang mit der Frage eine Rolle, wer für einen eventuellen Missbrauch eines entsprechenden Online-Zugangskanals einzustehen hat. Die Zurechnungsproblematik im Einzelnen hängt allerdings von den unterschiedlichen Zugangsmedien ab. Im PIN- / TAN-Verfahren werden zur Legitimation die persönliche Identifikationsnummer („PIN“) sowie eine Transaktionsnummer („TAN“) eingesetzt, um dadurch über das Online-Medium sowohl Zugang zum Konto zu erhalten als auch Aufträge erteilen zu können. Zunächst ist von der normalen Risikolage auszugehen, wonach bei einer Auftragserteilung das Kreditinstitut grundsätzlich das Risiko trägt, das sich daraus ergibt, wenn nicht der Nachweis geführt werden kann, dass der Kontoinhaber oder ein von ihm Bevollmächtigter den Auftrag erteilt hat.57 Das Fälschungsrisiko liegt allenfalls dann beim Bankkunden, wenn er einen Vertrauenstatbestand und damit die Voraussetzungen für eine Rechtsscheinhaftung geschaffen hat, aufgrund dessen die Bank davon ausgehen konnte, der Auftrag sei von ihm selbst erteilt worden.58 Aufgrund dessen wäre zunächst daran zu denken, unter analoger Anwendung der §§ 164 ff BGB eine Haftung unter den Gesichtspunkten der Anscheinsvollmacht des Online-Banking-Kunden zu begründen, sofern die ihm übertragenen Legitimationsmedien zur Erteilung eines Auftrags ohne sein Wissen und ohne sein Zutun eingesetzt wurden.59 An der Übertragbarkeit der Grundsätze zur Anscheinsvollmacht auf den Missbrauch von PIN und TAN bestehen jedoch insofern Zweifel, als typische Fälle für die Anwendung der Grundsätze zur Anscheinsvollmacht dadurch gekennzeichnet sind, dass der unberechtigt Handelnde aus der Sphäre des Vertretenen kommt, während bei Missbrauch der Identifikations- und Legitimationsmedien im Online57
Vgl. BGH v. 31.05.1994 – VI ZR 12/94, NJW 1994, 2358 = BGH WM 1994, S. 1420; BGH NJW 1994, 3345 = BGH WM 1994, 2073; Schimansky in Bankrechts-Handbuch I., § 49 Rn. 10 ff; Kümpel, Bank- und Kapitalmarktrecht, Rn. 4.752 ff; Schwintowski/Schäfer, Bankrecht, § 12 Rn. 56 ff; Canaris, Bankvertragsrecht, Rn. 386; Werner in Hellner/ Steuer, Bankrecht und Bankpraxis, Rn. 19/326.
58
Vgl. Gößmann in Bankrechts-Handbuch I., § 55, Rn. 26; LG Koblenz v. 17.09.1990 – 3 S 78/90, NJW 1991, 1360; Redeker, NJW 1984, 2390 (2393).
59
Vgl. dazu Schramm in Münchner Kommentar, § 164 BGB, Rn. 36 ff; Palandt/Heinrichs, BGB, § 164 Rn. 10.
24
3 Der Internet-Einzelvertrag
Banking in der Regel offen bleibt, wer tatsächlich gehandelt hat.60 Folglich passen die Grundsätze zur Anscheinsvollmacht nicht auf den Missbrauch der OnlineBanking-Medien PIN und TAN. Näherliegend ist deshalb der Vergleich mit dem Missbrauch der ec-Karte sowie der dazu ausgegebenen PIN. In diesen Fällen hat die Rechtsprechung eine Transaktion dem Karteninhaber nicht unter dem Gesichtspunkt der Anscheinsvollmacht zugerechnet, sondern seine Haftung unter Heranziehung der Grundsätze zum Anscheinsbeweis begründet. Danach begründet der Einsatz der ec-Karte sowie der dazu ausgegebenen PIN den Beweis des ersten Anscheins dafür, dass der Karteninhaber entweder selbst verfügt oder durch einen unsorgfältigen Umgang mit den ihm überlassenen Legitimationsmedien wenigstens grob fahrlässig zu einem Missbrauch beigetragen hat, sofern es keine Anhaltspunkte dafür gibt, dass es möglich war, das Sicherheitsniveau zu überwinden oder wie es ansonsten ohne Sorgfaltspflichtverletzung des Karteninhabers zu einem Missbrauch seiner Legitimationsmedien kommen konnte.61 Die Anwendung der Grundsätze zum Anscheinsbeweis setzt jedoch zunächst einmal voraus, dass durch ein entsprechendes Sicherheitsverfahren dafür Sorge getragen werden muss, dass es mit einem vertretbaren technischen oder wirtschaftlichen Aufwand einem Unberechtigten nicht möglich ist, Verfügungen zu Lasten des Kontoinhabers zu veranlassen. Wenn diese Voraussetzungen vorliegen und Verfügungen folglich nur mit Hilfe der dem Kontoinhaber zur Verfügung gestellten Legitimationsmedien durchgeführt werden können, ist überhaupt erst Raum für die Anwendung der Grundsätze zum Anscheinsbeweis. Im OnlineBanking-Verfahren erhalten die Teilnehmer zu diesem Zweck eine PIN, d. h. eine Geheimnummer, deren Einsatz erforderlich ist, damit sie Zugang zum Konto oder Depot erhalten können. Des Weiteren werden ihnen eine Vielzahl von TAN, Transaktionsnummern, zur Verfügung gestellt, die einmalig für die Erteilung eines Auftrags verwendet werden können. Sind die Nummern eines TAN-Blocks aufgebraucht, erhält der Online-Banking-Teilnehmer einen neuen TAN-Block mit neuen TAN, um weitere Aufträge erteilen zu können. Beim Online-Banking ist folglich zur Auftragserteilung der kombinierte Einsatz von PIN und TAN erforderlich. Eine solche Kombination verschiedener Medien ist für den elektronischen Bankgeschäftsverkehr nicht untypisch. Auch das ec-System sieht den kombinierten Einsatz 60
Vgl. Soergel/Leptien, § 167, Rn. 31 ff, Schramm in Münchner Kommentar, § 167 Rn. 61 und Rn. 64.
61
Zur Rechtsprechung zum ec-Kartenbereich Vgl. LG Köln, WM 1995, 976 = WuB I., D.5c.-3.96 Ahlers; AG Diepholz, WM 1995, 1919=WuB I. D5c.-1.96 Hertel; AG Schöneberg, WM 1997, S. = WuB. I. D5c.-2.97 Werner; AG Hannover, WM 1997, 64=WuB I.Dc.-2.97 Werner; AG Frankfurt a.M. WM 1995, 880=WuB I.D5c.-2.96 Salje; AG Wuppertal, WM 1997, 1209=WuB I. D5c.-3.97 Aepfelbach/Cimiotti; AG Hannover, WM 1997, 1207=WuB I.D5c.-3.97 Aepfelbach/Cimiotti; AG Charlottenburg, WM 1997, 2280=WuB I.D5c.-1.98 Werner; AG Frankfurt a.M., NJW 1998, 687; AG Osnabrück, NJW 1998, 688; AG Dinslaken, WM 1998, 1126; LG Frankfurt a.M., WM 1999, 1930; Werner, WM 1997, 1516 ff; von Rottenburg, WM 1997, 2381 ff im OnlineBanking; Strube, WM 1998, 1210 ff; BGH BKR 2004, 493 = WM 2004, 2309.
3.3 Die Nachweisproblematik des Vertragsabschlusses
25
eines (körperlichen) Legitimationsmediums und einer „unkörperlichen“ – der Karte und der PIN – als Voraussetzung für die Auftragserteilung vor. Aufgrund dessen sind die TAN sorgfältig aufzubewahren und die PIN geheim zu halten, um sicherzustellen, dass nur der Berechtigte, d. h. derjenige, dem PIN und TAN zur Verfügung gestellt werden, in der Lage ist, Transaktionen zu veranlassen. Das den Online-Banking-Service anbietende Kreditinstitut kann im Zweifelsfall nicht den unmittelbaren Nachweis führen, dass der Berechtigte selbst verfügt hat. Aufgrund dessen Verpflichtung zur Geheimhaltung der Legitimationsmedien und eines hohen technischen Sicherheitsstandards, der mit vertretbarem wirtschaftlichen und technischen Aufwand nicht überwunden werden kann, ist jedoch bei der Erteilung von Aufträgen unter Einsatz von PIN und TAN davon auszugehen, dass der Berechtigte entweder selbst verfügt hat oder mit PIN und TAN nicht sorgfältig umgegangen ist, weshalb es nur aufgrund seines Verschuldens zu einem Missbrauch kommen konnte.
3.3.2
Das Missbrauchsrisiko
3.3.2.1 Die rechtlichen Grundsätze zum Anscheinsbeweises Zwar bewirkt der Einsatz der Legitimationsmedien keine Beweislastumkehr, begründet aber den Beweis des ersten Anscheins dafür, dass der berechtigte OnlineBanking-Teilnehmer entweder selbst verfügt oder schuldhaft zum Missbrauch der ihm überlassenen Legitimationsmedien beigetragen hat.62 Die im Zusammenhang mit den zum Missbrauch der ec-Karte und der dazugehörigen PIN entwickelten Grundsätze zum Anscheinsbeweis sind auf den Missbrauch von PIN und TAN im Online-Banking übertragbar, sofern das Sicherheitssystem mindestens das Niveau des ec-PIN-Systems erreicht und damit mit einem vertretbaren materiellen oder technischen Aufwand nicht überwindbar ist.63 Genügt dies nicht, um das Institut des Anscheinbeweises zu begründen, müsste die Bank im Zweifelsfall den Voll62
Zur entsprechenden Problematik beim Anscheinsbeweis im ec-System vgl. LG Köln v. 20.09.1994 – 11 S 338/92, WM 1995, 976 ff=WuB I. D5c.-3.96 Ahlers; AG Diepholz v. 06.09.1995 – 2 C 354/95 I, WM 1995, 1919 ff=WuB I. D5c.-1.96 Hertel; AG Schöneberg v. 09.09.1996 – 8 C 258/96, WM 1997, 66 f, WuB I. D5c.-2.97, Werner; AG Hannover v. 21.06.1996 537 C 3553/96, WM 1997, 64 f=WuB I. D5c.-2.97 Werner; AG Frankfurt a.M. v. 03.02.1995 – 32 C 3336/94-19, WM 1995, 880=WuB I. D5c.-2.97 Salje; AG Wuppertal v. 10.04.1997 – 35 C 351/96, WM 1997, 1209 ff=WuB I. 5c.-3.97 Aepfelbach/Cimiotti; AG Hannover v. 09.05.1997 – 567 C 9676/94, WM 1997, 1207 ff=WuB I.D5c.-3.97 Aepfelbach/Cimiotti; AG Charlottenburg v. 13.08.1997 – 76 C 280/97, WM 1997, 2082 ff=WuB I. D5c.-1.98 Werner; AG Frankfurt a.M. v. 31.10.1997 – 30 C 1299/97, NJW 1998, 687 f; AG Osnabrück v. 24.10.1997 – 47 C 335/97, NJW 1998, 688 f; AG Dinslaken v. 29.04.1998 – 8 C 42/98, WM 1998, 1126 ff; zusammenfassend Werner, WM 1997, 1516 ff; BGH WM 2004, 2309 = BGH BKR 2004, 493 m. Anm. Strube und Werner.
63
Vgl. OLG Köln v. 30.04.1993 – 19 U 134/92, VersR 1993, 840; von Rottenburg, WM 1997, 2381.
26
3 Der Internet-Einzelvertrag
beweis dafür führen, dass ihr Kunde entweder selbst verfügt hat oder mit den ihm überlassenen Legitimations- und Identifikationsmedien nicht sorgfältig umgegangen ist. Unter Berücksichtigung, dass aufgrund der fehlenden unmittelbaren Beziehung zwischen Online-Banking-Teilnehmer und Kreditinstitut ein solcher Beweis in der Regel nicht wird geführt werden können, hätte die Bank in einem solchen Fall das Missbrauchsrisiko in vollem Umfange zu tragen. 3.3.2.2 Elektronische Legitimationsmedien Um Zugang zum Konto oder Depot zu erhalten, ist dagegen nur der Einsatz eines Legitimationsmediums, der PIN, erforderlich. Ohne TAN ist es nicht möglich, Aufträge zu erteilen. Gleichwohl besteht auch die Verpflichtung, mit der PIN sorgfältig umzugehen, damit kein Unberechtigter Kenntnis vom Kontostand oder vom Depotinhalt des Kunden erhalten kann. Die PIN dient damit der Sicherung des Bankgeheimnisses und ist deshalb sorgfältig aufzubewahren, darf gleichzeitig aber auch nicht leicht missbräuchlich sein. Zur Durchführung einer Transaktion – z. B. zur Erteilung eines Zahlungsauftrages – muss neben der PIN noch eine TAN eingesetzt werden. Erst die Kombination aus PIN und TAN erlaubt es, Transaktionen zu Lasten eines Kontos oder Depots auszuführen. Im Gegensatz jedoch zur PIN, die unbeschränkt verwendet werden kann, ist der Einsatz einer TAN auf einzelne Transaktionen beschränkt. Diese werden beim Einsatz verbraucht. Für weitere Transaktionen muss jeweils eine neue TAN verwendet werden. Diese Transaktionsnummern werden deshalb auf einem TAN-Block übermittelt, der eine vom Kreditinstitut vorgegebene Zahl von Transaktionsnummern enthält. Aufgrund dieser Vielzahl an Daten ist es dem Bankkunden jedoch nicht zumutbar, sich diese zu merken. Er wird folglich nur dazu angehalten, sie sorgfältig aufzubewahren und nicht elektronisch zu speichern, um den Zugriff durch Unberechtigte zu verhindern. Um das aus der Verwendung einer papierhaften TAN-Liste resultierende Risiko zu minimieren, denn solche Listen können leicht abhanden kommen und danach missbraucht werden, wird alternativ ein „TAN-Generator“ angeboten, bei dem es sich um eine Chipkarte zur Erzeugung einmal verwendbarer TAN handelt.64 Der Online-Banking-Teilnehmer wird folglich gem. Ziff. 9 der Online-Banking-Bedingungen der Kreditinstitute verpflichtet, die Chipkarte mit dem TAN-Generator sorgfältig aufzubewahren und ihren Verlust unverzüglich dem Sperrannahmedienst – sofern sie mit weiteren Zahlungsfunktionen ausgestattet ist – oder dem emittierenden Kreditinstitut – falls die Karte nur mit dem TAN-Generator ausgerüstet ist – zu melden.
64
Vgl. Werner, in: Hopt, Formularhandbuch, IV. F. 11, 1045 ff.
3.3 Die Nachweisproblematik des Vertragsabschlusses
27
3.3.2.3 Die Pflichtenverteilung im Zusammenhang mit elektronischen Legitimationsmedien Während der Online-Banking-Teilnehmer dafür Sorge zu tragen hat, dass seine Legitimationsmedien vor einem unberechtigten Zugriff bzw. einer unberechtigten Kenntnisnahme durch Dritte geschützt werden, hat das Kreditinstitut die Verpflichtung, in einer Verfahrensanleitung dem Nutzer genauestens zu erläutern, wie er sich zu verhalten hat, um den Online-Banking-Service sachgerecht und ohne (vermeidbare) Risiken nutzen zu können. Außerdem wird der Nutzer durch die Verfahrensanleitung auf die konkreten Risiken hingewiesen. Das den OnlineBanking-Service anbietende Kreditinstitut muss den Online-Banking-Teilnehmer dafür sensibilisieren, welche Risiken bestehen und ihn darauf hinweisen, dass er nach jeder Nutzung den Zugang zum Online-Banking-Service unverzüglich beenden muss, damit kein Unberechtigter Zugriff auf sein Konto oder Depot erhält. Deshalb sollte sich in den ihm überlassenen Unterlagen der ausdrückliche Hinweis finden, dass der Online-Banking-Teilnehmer nach jeder Nutzung den Zugang zu seinem Konto oder Depot beenden muss. Schließlich muss auch das dabei einzuhaltende Prozedere klar und unmissverständlich erläutert werden, denn wenn der Zugang nicht beendet wird, besteht u. U. das Risiko eines erleichterten Missbrauchs. Außerdem ist der Nutzer verpflichtet, die technische Verbindung zum OnlineBanking-Angebot nur über die ihm vom Kreditinstitut mitgeteilten Online-BankingZugangskanäle herzustellen, um sicherzustellen, das auch nur solche benutzt werden, die vom Online-Banking-Anbieter als sicher eingestuft werden. Eine uneingeschränkte Kommunikation des Online-Nutzers mit seinem Kreditinstitut über das Internet unter Nutzung anderer als der vorgegebenen Zugangskanäle könnte zu erhöhten Sicherheitsrisiken führen. Es ist dem Verbraucher jedoch nicht zumutbar, diese Risiken selbst zu ermitteln. Ein Kreditinstitut, das einen entsprechenden Online-Banking-Service anbietet, muss auch überprüfen und dem Verbraucher ggf. mitteilen, welche Kanäle nutzbar bzw. nicht nutzbar sind. Unterlassungen in diesem Bereich gehen zu Lasten des Kreditinstituts, da es damit die Aufklärungspflichten im Zusammenhang mit dem Online-Banking-Service verletzen würde. 3.3.2.4 Die Anwendung der Grundsätze zum Anscheinsbeweis auf elektronische Legitimationsmedien Diese Beweislastverteilung steht auch nicht Artikel 7e der Empfehlung der EGKommission zu elektronischen Zahlungsverkehrsinstrumenten entgegen,65 nach der das Kreditinstitut die Beweislast dafür trägt, dass keine technischen Probleme oder ein sonstiger Mangel aufgetreten ist, aufgrund dessen es zu einem Miss-
65
97/489/EG: Empfehlung der Kommission von 30.07.1997 zu den Geschäften, die mit elektronischen Zahlungsverkehrsinstrumenten getätigt werden (besonders zu den Beziehungen zu Emittenten und Inhabern solcher Instrumente), Abl. Nr. L208 vom 02.08.1997, 52 ff.
28
3 Der Internet-Einzelvertrag
brauch des entsprechenden Zahlungsverkehrsinstruments hat kommen können. Im Online-Banking-Bereich muss im Zweifelsfall das Kreditinstitut den Nachweis dafür führen, dass das von ihm eingehaltene Sicherheitsniveau mit einem vertretbaren wirtschaftlichen oder technischen Aufwand nicht überwunden werden kann. Dies entspricht letztlich der Empfehlung der EG-Kommission. Im Ergebnis ist deshalb festzustellen, dass der Anscheinsbeweis im OnlineBanking-Verfahren Anwendung finden kann, wenn durch eine Interdependenz zwischen den technischen Sicherheitsstandards, der Beherrschbarkeit der Risiken und den Pflichten der Parteien hinreichend für die Sicherheit des Verfahrens Rechnung getragen werden kann. Folglich gelten die von der Rechtsprechung zum Einsatz der ec-Karte und der PIN entwickelten Grundsätze zum Anscheinsbeweis auch im Online-Banking-Verfahren.66 Sie sind auf das Online-Banking-Verfahren übertragbar, sofern – wie dargestellt – das Sicherheitsniveau vergleichbar ist. Folglich werden die Grundsätze zum Anscheinsbeweis auch auf das PIN- und TANVerfahren im Online-Banking übertragen.67 Aufgrund dessen sind die Sorgfaltspflichten, die für den ec-Kartenbereich entwickelt worden sind, auf das OnlineBanking-Verfahren übertragbar, mit der Folge, dass PIN und TAN-Liste oder TANGenerator in ähnlicher Weise sorgfältig aufzubewahren sind wie die ec-Karte und die PIN im ec-PIN-Verfahren.68 Zwischenzeitlich hat der Anscheinsbeweis auch seine Anerkennung in der Zivilprozessordnung durch die Einführung des § 371a Abs. 1 ZPO – ursprünglich des § 292a ZPO – erfahren69. Auch wenn der darin normierte Anscheinsbeweis an den Einsatz einer qualifizierten elektronischen 66
Vgl. z. B. KG v. 10.01.1992 – 9 U 959/91, NJW 1992, 1051; LG Bonn v. 11.01.1995 – 5 S 163/94, NJW RR 1995, 815; LG Darmstadt v. 10.11.1994 – 2 O 571/97, WM 2000, 911; LG Frankfurt a.M.v. 12.05.1999 – 2/1 S 336/98, WM 1999, 1930; LG Hannover v. 16.03.1998 – 20 S 97/97, WM 1998, 1123; LG Köln v. 20.09.1994 – 11 S 338/92, WM 1995, 976f; AG Frankfurt a.M. v. 31.10.1997 – 30 C 1299/97, NJW 1998, 687f; AG Osnabrück v. 24.10.1997 – 47 C 335/97, NJW 1998, 688f; Werner, WM 1997, 1516 ff; ders., MMR 1998, 233; Canaris, Bankvertragsrecht, Rn. 527m; Harbeke, WM-Sonderbeilage Nr. 1/1994, 11; Kümpel, Bank- und Kapitalmarktrecht, Rn. 4.752; Gößmann in Bankrechts-Handbuch I., § 54 Rn. 13f; Bieber, WM-Sonderbeilage Nr. 6/1987, 4f; a.A. OLG Hamm v. 17.03.1997 – 31 U 72/96, NJW 1997, 1711; LG Berlin v. 16.11.1998 – 51 S 292/98, WM 1999, 1920f; Strube, WM 1998, 1210, 1213 ff.
67
Siehe OLG Oldenburg v. 11.01.1993 – 13 U 133/92, NJW 1993, 1400; OLG Köln v. 30.09.1993 – 19 U 134/92 VersR 1993, 840f; Kümpel, Bank- und Kapitalmarktrecht, Rn. 4.752; Werner, MMR 1998, 233f; ders. MMR 1998, 338 ff; Werner in Hellner/Steuer Bankrecht und Bankpraxis, Rn. 19/42, 19/84f und 19/326f; Wiesgickl, WM 2000, 1047 (1050); von Rottenburg, WM 1997, 2381 (2391); Pichler, Rechtsnatur, Rechtsbeziehung und zivilrechtliche Haftung beim elektronischen Zahlungsverkehr im Internet, 1998, 78.
68
Vgl. von Rottenburg, WM 1997, 2381 (2389); Gößmann in Bankrechts-Handbuch I., § 55, Rn. 26, Kümpel, Bank- und Kapitalmarktrecht, Rn. 4.752f; Schwintowski/Schäfer, Bankrecht, § 12 Rn. 56 ff.
69
Vgl. dazu Borges, Verträge im elektronischen Geschäftsverkehr, 358f.
3.3 Die Nachweisproblematik des Vertragsabschlusses
29
Signatur anknüpft, kann daraus doch die Schlussfolgerung gezogen werden, dass der Einsatz von Legitimationsmedien, deren Sicherheit der elektronischen Signatur zumindest vergleichbar ist, ähnliche Wirkungen entfalten kann. Allerdings ist es zutreffend, dass zwischen dem Anscheinsbeweis für die Abgabe einer Erklärung und für die Verletzung von Sorgfaltspflichten zu unterscheiden ist.70 Sicherlich ist es richtig, dass es schwer möglich sein dürfte, den Anscheinsbeweis als Instrument zur Begründung der Urheberschaft eine Erklärung durch den Inhaber der Legitimationsmedien heranzuziehen, weil dieser seine Medien – auch unberechtigt – Dritten zur Verfügung gestellt oder zugänglich gemacht haben kann.71 Deshalb ist er allenfalls geeignet, als Beleg dafür herangezogen zu werden, dass der Inhaber der Medien entweder selbst verfügt hat oder mit ihnen nicht sorgfältig umgegangen ist, wobei im Zweifel nur die Sorgfaltspflichtverletzung, nicht jedoch auch der Einsatz des Mediums durch den Berechtigten begründet werden kann. Allerdings kann dem die in die ZPO neu aufgenommene Regelung des § 371a Abs. 1 ZPO entgegenstehen. § 371a Abs. 1 ZPO sieht vor, dass der Anschein der Echtheit einer in elektronischer Form vorliegenden Willenserklärung, der sich aufgrund der Prüfung unter Anwendung des Signaturgesetzes ergibt, nur durch Tatsachen erschüttert werden kann, die ernstliche Zweifel daran begründen, dass die Erklärung mit dem Willen des Signatur-Schlüssel-Inhabers abgegeben worden ist. Nach dem Gesetzestext begründet der Anschein der Echtheit einer elektronischen Signatur, die den Anforderungen des Signaturgesetzes genügt, den Beweis des ersten Anscheins dafür, dass der Signaturschlüsselinhaber selbst gehandelt hat und nicht nur unsorgfältig mit seinen Medien umgegangen ist. Werden diese Überlegungen auf den Einsatz der Legitimationsmedien im OnlineBanking- oder Homebanking-Verfahren übertragen, kann daraus die Schlussfolgerung gezogen werden, dass der Einsatz der entsprechenden Zugangsmedien ebenfalls zunächst als Beleg dafür anzusehen ist, dass der berechtigte Inhaber dieser Medien selbst verfügt hat. Auch setzt die Anwendung von § 371a Abs. 1 ZPO den Einsatz einer qualifizierten elektronischen Signatur nach dem Signaturgesetz voraus. Gleichwohl sind diese Überlegungen zum gesetzlich geregelten Anscheinsbeweis jedoch auf andere Legitimationsverfahren übertragbar. In § 371a Abs. 1 ZPO ist nur die Regelung einer Spezialform des Anscheinsbeweises zu sehen. Folglich spricht nichts dagegen, die Grundsätze zum Anscheinsbeweis, wie sie in § 371a Abs. 1 ZPO normiert worden sind, auch auf den Einsatz sonstiger elektronischer Legitimationsmedien zu übertragen, soweit die jeweiligen Legitimationsverfahren hinsichtlich ihres Sicherheitsniveaus mit der qualifizierten elektronischen Signatur nach dem Signaturgesetz vergleichbar sind. Auf dieser Grundlage dürfte der Anscheinsbeweis im Online-Banking nicht nur für den Nachweis geeignet sein, dass der OnlineBanking-Teilnehmer mit seinen Legitimationsmedien nicht sorgfältig umgegangen 70
So Spindler, Bankrecht und E-Commerce, in Entgeltklauseln in der Kreditwirtschaft und E-Commerce von Kreditinstituten, Hadding/Hopt/Schimansky, Bankrechtstag 2001, 171, 191.
71
Vgl. Wiesgickl, WM 2000, 1047.
30
3 Der Internet-Einzelvertrag
ist, sondern vielmehr auch als Beleg dafür angesehen werden, dass der Inhaber dieser Medien mit ihnen selbst verfügt hat. Sofern er Umstände darlegt und ggf. beweist, aus denen sich ergibt, dass der Inhaber der Legitimationsmedien diese nicht selbst eingesetzt hat, greift die zweite Stufe des Anscheinsbeweises, dann nämlich ist zumindest davon auszugehen, dass der Inhaber der Medien mit diesen nicht sorgfältig umgegangen ist. Nur wenn der Nutzer des Online-BankingVerfahrens auch noch Umstände darlegen und ggf. beweisen kann, aus denen sich ergibt, dass er auch nicht sorgfaltspflichtwidrig gehandelt hat, sind die Voraussetzungen des Anscheinsbeweises erschüttert und das den Online-Banking-Service anbietende Kreditinstitut hat das Missbrauchsrisiko zu tragen. In der Praxis jedoch spielt diese Unterscheidung für das Bankgeschäft keine große Rolle, da sich ein eventueller Erfüllungsanspruch und ein Schadensersatzanspruch betragsmäßig kaum unterscheiden. In wirtschaftlicher Hinsicht spielt es deshalb keine Rolle, ob der Einsatz der Online-Banking-Medien den Beweis des ersten Anscheins dafür begründet, dass ein Auftrag vom Kontoinhaber selbst erteilt wurde oder es zu einem Missbrauch Dritter aufgrund eines sorgfaltspflichtwidrigen Umgangs des OnlineBanking-Teilnehmers mit seinen Zugangsmedien gekommen ist. Im ersten Fall hat das Kreditinstitut einen Aufwendungsersatzanspruch gem. §§ 675, 676a, 670 BGB, während im zweiten Fall der Schadensersatzanspruch gem. § 280 Abs. 1 BGB der Höhe nach dem Aufwendungsersatzanspruch entspricht, den das Kreditinstitut gehabt hätte, wenn der Auftrag ordnungsgemäß erteilt worden wäre. Die vorstehend genannten Grundsätze gelten nicht nur für das PIN- / TANVerfahren, sondern für alle Identifikations- und Legitimationsverfahren im Electronic-Banking, also auch nach HBCI-Standard, sofern zum einen das Sicherheitsniveau eines entsprechenden Verfahrens so hoch ist, dass es mit einem vertretbaren wirtschaftlichen oder technischen Aufwand nicht überwunden werden kann, die Legitimationsmedien den Online-Banking-Teilnehmer unter Hinweis auf die einzuhaltenden Sorgfaltspflichten zur ausschließlichen und alleinigen Nutzung überlassen werden und er auch die zumutbare Möglichkeit hat, diese Medien zu beherrschen und für ihre Sicherung Sorge zu tragen. Um das aus der Zurechnung resultierende Risiko zu minimieren, könnte daran gedacht werden, eine verschuldensunabhängige Haftung des Online-BankingTeilnehmers zu begründen. Die Grundlage eines solchen Ansatzes könnte sein, dass die Legitimationsmedien sich letztlich im Verantwortungsbereich des OnlineBanking-Teilnehmers befinden, der ausschließlich die Möglichkeit hat, sie zu beherrschen und zu kontrollieren.72 Eine solche verschuldensunabhängige Haftung nach Verantwortungssphären widerspricht jedoch den zivilrechtlichen Grundsätzen, zu denen das Verschuldensprinzip gehört, das besagt, dass nur derjenige für einen Schaden einstehen muss, der diesen schuldhaft verursacht hat.73 Damit wäre 72
Zu derartigen Überlegungen vgl. Reiser/Werner, WM 1995, 1901 (1907); ähnlich auch Blaurock, CR 1989, 561 (566), dagegen jedoch Borsum/Hoffmeister, BB 1983, 1443.
73
Vgl. BGH v. 23.04.1991 – XI. ZR 128/90, WM 1991, 1110 ff=WuB I. D5.-7.91 Fervers; BGH v. 18.03.1997 – XI. ZR 117/96, WM 1997, 910=WuB I. D3.-3.97 Köndgen.
3.3 Die Nachweisproblematik des Vertragsabschlusses
31
eine Haftungsklausel, die eine verschuldensunabhängige Haftung begründet, jedoch gem. § 307 Abs. 1 und Abs. 2 Nr. 1 BGB in Allgemeinen Geschäftsbedingungen unzulässig. Nicht berücksichtigt worden sind bei den vorstehenden Ausführungen spezielle Geschäftsbedingungen, die für Spezialprodukte entwickelt wurden, d. h. Produkte, bei denen das Online-Medium nicht nur einen neuen Vertriebskanal eröffnet, sondern Bestandteil der Produktgestaltung ist, wie z. B. beim bis zum Jahre 2000 angebotenen eCash-Verfahren – einem speziellen Zahlungsverfahren im Internet – der Deutschen Bank.74 Da es sich dabei um ein Spezialprodukt gehandelt hat, entzieht es sich einer allgemeinen Betrachtung und der daraus resultierenden Ableitung allgemeiner Grundsätze. Gleichwohl gelten die zum Online-Banking entwickelten Rechtsgrundsätze, insbesondere zu den Sorgfaltspflichten und den Legitimationsverfahren, für praktisch alle Online-Banking-Produkte, bei denen es vergleichbare rechtliche Probleme wie die weiter oben dargestellten gibt. Im Übrigen wäre jedoch bei entsprechenden Spezialprodukten eine individuelle Betrachtung der einzelnen Geschäftsbedingungen erforderlich. Weiterhin folgt der Nachweis von Vertragsabschlüssen über das Internet mittels elektronischer Signatur eigenen Regeln. Eine elektronische Signatur ist hinsichtlich ihrer Beweiskraft nicht der handschriftlichen Unterschrift gleichgestellt. Infolge dessen wurde in die Zivilprozessordnung eine neue Regelung in § 371a Abs. 1 ZPO aufgenommen, die vorsieht, dass der Anschein der Echtheit einer in elektronischen Form vorliegenden Willenserklärung, der sich auf der Grundlage der Prüfung nach dem Signaturgesetz ergibt, durch Tatsachen erschüttert werden kann, die es ernsthaft als möglich erscheinen lassen, dass die Erklärung nicht mit dem Willen des Signaturschlüsselinhabers abgegeben worden ist, d. h., dass dessen Legitimationsmedien von einem Unberechtigten eingesetzt worden sind. Vor dem Hintergrund einer solchen Regelung ist die gesetzliche Normierung der bisherigen Grundsätze zum Anscheinsbeweis zu sehen. Es folgt daraus jedoch keine Gleichstellung der elektronischen Signatur mit der handschriftlichen in beweisrechtlicher Hinsicht, da private Urkunden, die von den Ausstellern unterschrieben oder mittels notariell beglaubigten Handzeichnens unterzeichnet sind, gem. § 416 ZPO den Vollbeweis dafür begründen, dass die in ihnen enthaltenen Erklärungen vom Aussteller abgegeben wurden. Die Beweiskraft von Privaturkunden kann deshalb normalerweise nur durch einen Vollbeweis entkräftet werden, während es für die Widerlegung der Beweiswirkungen gem. § 371a Abs. 1 ZPO genügt, dass Tatsachen vorgetragen und ggf. bewiesen werden, die es ernsthaft als möglich erscheinen lassen, dass die Erklärung nicht mit dem Willen des Signaturschlüsselinhabers abgegeben wurde. 74
Vgl. dazu Neumann, Rechtsnatur des Netzgeldes –Internet Zahlungsmittel Ecash; Kümpel, NJW 1999, 313 ff; ders. WM 1998, 365 ff; Werner, BB-Beilage 12/1999, 21 ff; Spallino, WM 2001, 231 ff, Escher, WM 1997, 1176 ff; Blaurock/Münch KuR 2000, 97 ff; Pichler, Rechtsnatur, Rechtsbeziehung und zivilrechtliche Haftung beim elektronischen Zahlungsverkehr im Internet, Münster 1998, 4 ff; Werner, KuR 2001, 433 ff.
32
3 Der Internet-Einzelvertrag
Folglich sind Fallkonstellationen nicht auszuschließen, in denen die Beweiskraft einer elektronischen Signatur weniger weit als die einer handschriftlichen Unterschrift reicht. Dieses Restrisiko hat ein Kreditinstitut, sofern es Kontoeröffnungen über das Internet erlaubt, zu tragen. Darüber hinaus sind auch Fallkonstellationen denkbar, in denen die Beweiskraft einer entsprechenden elektronischen Signatur sogar weniger weit gehen kann als die vertraglich vereinbarter Legitimationsmedien – wie z. B. von PIN und TAN oder einer elektronischen Signatur nach HBCI-Standard. Die vertraglich vereinbarten Legitimationsverfahren setzen eine Rahmenvereinbarung voraus, in der die Einzelheiten über den Einsatz dieser Medien festgelegt werden. Beispiele dafür sind das Online-Banking sowie das Homebanking-Verfahren, auf die weiter unten noch im Detail einzugehen seien wird. Innerhalb dieser bestehenden Rahmenverträge werden die Nutzer der Legitimationsmedien verpflichtet, mit diesen sorgfältig umzugehen, so dass ein auf einer schuldhaften Sorgfaltspflichtverletzung durch einen missbräuchlichen Einsatz der Legitimationsmedien zurückzuführender Schaden vom Inhaber dieser Medien zu tragen ist. Wird jedoch bereits der Rahmenvertrag – wie dies bei der Kontoeröffnung mittels elektronischer Unterschrift der Fall wäre – unter Einsatz der elektronischen Signatur gem. § 2 Nr. 3 SiG abgeschlossen, besteht ein solches Rechtsverhältnis, aufgrund dessen der Vertragspartner des Kreditinstituts verpflichtet wird, mit seinen elektronischen Legitimationsmedien sorgfältig umzugehen und sie vor dem unberechtigten Zugriff durch Dritte zu schützen, zum Zeitpunkt des Einsatzes eines solchen Mediums zur Begründung eines Vertragsverhältnisses noch nicht. Folglich kann nicht ausgeschlossen werden, dass selbst dann, wenn der Inhaber einer elektronischen Signatur mit dieser sorgfaltspflichtwidrig umgeht, durch einen entsprechenden Vortrag und ggf. Beweis der behaupteten Tatsachen der Anschein der Echtheit erschüttert werden kann, ohne dass er gleichzeitig auch für einen eventuell verursachten Schaden verantwortlich zu machen ist, da er in keinem Vertragsverhältnis zum Geschädigten steht und sich aus § 371a Abs. 1 ZPO nicht ergibt, dass der Inhaber einer elektronischen Signatur auch für deren missbräuchlichen Einsatz ein zustehen hat. Eine Zurechnung käme dann allenfalls unter Rechtscheinsgesichtspunkten gem. § 311 Abs. 2 BGB in Betracht. Damit sind die Voraussetzungen für die Haftung aufgrund des missbräuchlichen Einsatzes einer elektronischen Signatur jedoch enger, als dies bei einer handschriftlichen Unterschrift der Fall ist. Folglich kann die Haftung aus einem sorgfaltspflichtwidrigen Umgang mit einer elektronischen Signatur u. U. weniger weit gehen, als eine solche beim Umgang mit Legitimationsmedien innerhalb bereits bestehender vertraglicher Beziehungen und weniger weit als bei einer handschriftlichen Unterschrift.
4
Zahlungsverkehr über Online-Medien
Für den Zahlungsverkehr über Online-Medien gibt es verschiedene Verfahren, die mit unterschiedlichen Risiken für die Bankkunden verbunden sein können. Dabei ist zu unterscheiden zwischen Vertriebswegen unter Nutzung von Online-Medien, die auch für den Zahlungsverkehr zur Verfügung stehen, und speziellen Zahlungsverfahren, die unter Nutzung von Online-Medien ausgeführt werden können, ohne dass es dazu einer entsprechenden Online-Banking-Rahmenvereinbarung oder eines Interbankenabkommens bedarf.
4.1 Online-Banking 4.1.1
Der Umfang des Online-Banking-Dienstleistungsangebots
Die deutsche Kreditwirtschaft bietet das Online-Banking-Verfahren an, das es den Bankkunden ermöglicht, mit ihren Kreditinstituten via Bildschirm und Telefonleitung zu kommunizieren und Aufträge zu erteilen oder Informationen abzufragen. Zum Teil werden dabei Nachrichten des Online-Banking-Teilnehmers direkt an die elektronische Datenverarbeitungsanlage eines Kreditinstituts übermittelt oder in einem elektronischen Briefkasten hinterlegt, der regelmäßig vom Kreditinstitut „geleert“ und danach abgearbeitet wird.75 Zwar stellt das Online-Banking-Verfahren der deutschen Kreditwirtschaft eine einheitliche technische Plattform dar, gleichwohl können sowohl die Instituts- als auch kundenbezogenen Leistungsangebote höchst unterschiedlich sein. Es steht im Ermessen eines jeden am Online-BankingVerfahren beteiligten Kreditinstituts, darüber zu entscheiden, welche Angebote es in dieses Verfahren einbezieht. Darüber hinaus kann es auch in Abhängigkeit von der Bonität und Zuverlässigkeit des einzelnen Bankkunden darüber entscheiden, in welchem Umfang er das Online-Banking für seine Bankgeschäfte nutzen darf. Um dies zu verdeutlichen, enthält Abschnitt 1 der Online-Banking-Bedingungen, wie sie vom Bundesverband deutscher Banken empfohlen werden, eine Regelung, wonach der Online-Banking-Teilnehmer seine Bankgeschäfte über das OnlineBanking in dem Umfange abwickeln kann, in dem die Bank ihm dies gegenüber bekannt gibt. Darüber hinaus kann sie für einzelne Transaktionen auch eine Bei-
75
Vgl. Gößmann in Bankrechts-Handbuch I., § 55 Rn. 12.
34
4 Zahlungsverkehr über Online-Medien
tragsgrenze festsetzen, über die sie den Bankkunden informieren muss.76 Danach liegt es allein in der Entscheidungsbefugnis des den Online-Banking-Service anbietenden Kreditinstituts, welche Dienstleistungen es darüber anbietet. Zu denken ist bei den einzelnen Leistungen insbesondere an Informationsangebote über die aktuellen Kontostände, Depotbestände, Umsätze oder Kurse sowie die Abwicklung des Zahlungsverkehrs oder die Erteilung von Wertpapierordern. Bezüglich der einzelnen angebotenen Dienstleistungen handelt es sich nicht um ein einseitiges Leistungsbestimmungsrecht gem. § 315 BGB, denn der OnlineBanking-Vertrag, bei dem es sich um einen Rahmenvertrag handelt, regelt nur den Online-Banking-Zugangskanal, nicht jedoch die darüber angebotenen Produkte. Über diese kommt erst dann ein Vertrag zustande, wenn der Bankkunde ein solches erwirbt. Die Regelungen über diese Produkte sind jedoch nicht Bestandteil der Online-Banking-Abrede, da diese keine Regelung zu den darüber vertriebenen Produkten enthält. Auch soweit sich die Verfügungsbefugnis nach der Bonität des Kunden richtet, beruht dies nicht auf einem einseitigen Leistungsbestimmungsrecht der Bank. Vielmehr wird Bezug genommen auf das Kontoguthaben oder eines vorher eingeräumten Kredits. Dadurch richtet sich die finanzielle Nutzungsgrenze nach dem mit der Bank abgeschlossenen Girovertrag, der für die Bestimmung der Nutzungsgrenze im Online-Banking maßgeblich ist.77
4.1.2
Die Rechtsgrundlagen des Online-Banking
Grundlage für das Online-Banking war ein Staatsvertrag zwischen den Ländern vom 18.03.1983, der das seinerzeit noch „Btx-Banking“ bezeichnete Verfahren regelte. Dieser Vertrag war die Rechtsgrundlage für die am 01.09.1984 in Kraft getretene Vereinbarung zwischen den Spitzenverbänden der deutschen Kreditwirtschaft und der – seinerzeitigen – Deutschen Bundespost, der die Bezeichnung „Abkommen über Bildschirmtext“ trug. Bestandteil dieses Abkommens war ein spezielles Sicherungskonzept, zu dem auch die „Bedingungen für die Nutzung des Bildschirmtextes“ gehörten.78 Dieses „Btx-Abkommen“ legte einen einheitlichen Verfahrensablauf fest und schuf einen branchenweiten Sicherheitsstandard, der es den am Btx-Verfahren beteiligten Banken erlaubte, Bankdienstleistungen auf einer einheitlichen Basis anzubieten.79 Ein wesentliches Element des Btx-Abkommens bildete das Btx-Sicherungskonzept, dessen Anforderungen im Verhältnis zum BtxTeilnehmer durch einheitliche Bedingungswerke umgesetzt wurden. Aufgrund 76
Vgl. dazu den Wortlaut von Abschnitt 1 der Online-Banking-Bedingungen, abgedruckt bei Gößmann, Bankrechts-Handbuch I., Anhang 6 zu §§ 52 bis 55; Werner in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 19/35.
77
Vgl. Werner in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 19/62 ff.
78
Vgl. Werner in: Hopt, Vertrags- und Formularbuch, IV. F. 11 Anm. 11, 1048.
79
Vgl. Kümpel, Bank- und Kapitalmaktrecht, Rn. 4.740 ff; Gößmann in BankrechtsHandbuch I. § 55 Rn. 2.
4.1 Online-Banking
35
dessen waren die früheren Btx-Bedingungen bzw. sind die heutigen OnlineBanking-Bedingungen der verschiedenen Kreditinstitute weitestgehend einheitlich. In den Bedingungswerken wurde das Btx-Sicherungskonzept insofern umgesetzt, als darin festgelegt wurde, dass es, um den Zugang zum Konto oder Depot zu erhalten, neben der Eingabe der Konto- oder Depotnummer oder einer Kundennummer erforderlich ist, zusätzlich ein persönliches Kennwort (PIN) einzugeben. Zwar ist das BtX-Banking bzw. T-Online-Banking mittlerweile eingestellt worden, über andere Zugangskanäle wird jedoch auch weiterhin von den Kreditinstituten ein auf PIN und TAN basierendes Verfahren angeboten. Deshalb sind zur Auftragserteilung auch weiterhin eine PIN und eine einmal nutzbare Transaktionsnummer (TAN) erforderlich.80 Die Online-Banking-Bedingungen regeln jedoch nicht nur den Einsatz der Zugangs- und Legitimationsmedien, sondern legen auch die damit im Zusammenhang stehenden Sorgfaltspflichten hinsichtlich des Einsatzes und der Aufbewahrung fest. Auch die aktuellen Online-Banking-Bedingungen, die hinsichtlich der rechtlichen Strukturen regelmäßig überarbeitet werden und unmittelbar auf die BtxBedingungen zurückzuführen sind, enthalten noch das auf PIN und TAN beruhende Sicherheitskonzept, das innerhalb der deutschen Kreditwirtschaft einheitlich eingesetzt wird.
4.1.3
Risiken und Rechtsprobleme des Online-BankingVerfahrens
4.1.3.1 Der Abschluss eines Online-Banking-Vertrags über Online-Medien Allerdings werden die Online-Banking-Bedingungen aus Sicherheitsgründen nicht über elektronische Medien, sondern auf konventionellem Weg vereinbart. Konten oder Depots werden für die Online-Nutzung erst dann freigeschaltet, wenn die Online-Banking-Bedingungen wirksam vereinbart wurden. Zwar mag es möglich sein, Allgemeine Geschäftsbedingungen auch über Online-Medien selbst zu vereinbaren.81 Es ist jedoch aus Sicherheitsgründen empfehlenswert, Sondervereinbarungen außerhalb dessen zu treffen, auch um dafür Sorge zu tragen, dass die Legitimationsmedien – PIN und TAN –, die außerhalb des Online-Verfahrens übermittelt werden, nicht in die Hände Unberechtigter gelangen können. Nur wenn die Online-Banking-Vereinbarung nicht über ein Online-Banking-Medium abgeschlossen wird, ist es möglich sicherzustellen, dass der Online-Banking80
Zum Verfahren vgl. Schwintowski/Schäfer, Bankrecht, § 12 Rn. 48; Gößmann in Bankrechts-Handbuch I., § 55 Rn. 13 ff; Kümpel, Bank- und Kapitalmarktsrecht, Rn. 4.746 ff; Werner in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 19/29 ff.
81
Vgl. zu den Anforderungen insbesondere Löhnig, NJW 1997, 1688; Mehrings, BB 1998, 2373 ff.
36
4 Zahlungsverkehr über Online-Medien
Vertrag auch tatsächlich mit dem berechtigten Konto- oder Depotinhaber abgeschlossen wird und nur dieser die ihm persönlich zugeordneten Legitimationsmedien erhält. Eine Kontrolle könnte zwar auch dadurch sichergestellt werden, dass nach Freischaltung des Online-Banking-Verfahrens über Online-Zugangskanäle der Konto- oder Depotinhaber nochmals außerhalb dieser Verfahren über eine entsprechende Konto- oder Depoteröffnung informiert würde, so dass er im Falle einer missbräuchlichen Nutzung die Möglichkeit hätte, das Kreditinstitut unverzüglich darüber zu unterrichten, jedoch könnte dann ein Unberechtigter schon Verfügungen veranlasst und in nicht unerheblichem Umfange Schäden verursacht haben, die zu Lasten des Kreditinstituts gehen würden. Auch dürfte in seinem solchen Falle fraglich sein, ob dem Bankkunden, dem die entsprechenden Informationen zwar zugesandt wurden, der sein Kreditinstitut jedoch nicht unverzüglich darüber unterrichtet hat, dass er selbst keine OnlineBanking-Vereinbarung beantragt hat, eine Pflichtverletzung vorgeworfen werden kann, wenn er nicht unverzüglich einen von ihm festgestellten oder nahe liegenden Missbrauch reklamiert, denn es besteht in diesem Fall in Bezug auf die OnlineBanking-Vereinbarung keine Nebenpflichten auslösende Rechtsbeziehung. Sollte der scheinbare Online-Banking-Kunde aber ein Konto oder Depot bei der Bank haben, ist er gem. Nr. 11 Abs. 4 der AGB-Banken verpflichtet, Kontoauszüge, Wertpapierabrechnungen, Depot- und Erträgnisaufstellungen sowie Abrechnungen, Anzeigen über die Ausführung von Aufträgen sowie Informationen über erwartete Zahlungen und Sendungen auf ihre Richtigkeit und Vollständigkeit zu überprüfen.82 Jedoch dürfte es problematisch sein, dem Bankkunden eine solche Unterrichtungspflicht auch für den Fall aufzuerlegen, dass ihm das Bestehen eines weiteren Vertrages zwischen ihm und dem Kreditinstitut mitgeteilt wird, der tatsächlich nicht existent ist und der darauf zurückzuführen ist, dass ein Kreditinstitut ein (relativ) unsicheres Verfahren zur Konto- oder Depoteröffnung anbietet. Sollte es zwischen den Vertragparteien noch keinen Vertrag geben, sind solche Mitwirkungspflichten zu verneinen. Nur wenn bereits ein Vertragsverhältnis zwischen den Beteiligten besteht, könnte aus der Rahmenvereinbarung, durch die auch die AGB-Banken in das Vertragsverhältnis mit einbezogen werden, die allgemeine Verpflichtung abgeleitet werden, die Bank darüber zu unterrichten, dass ein vermeintliches weiteres Vertragsverhältnis nicht besteht. Allerdings können die AGBBanken nach ihrem Wortlaut kaum herangezogen werden, denn Nr. 11 Abs. 4 AGB-Banken geht von Einwendungen aus, die im Rahmen bereits bestehender Verträge begründet werden. Eine Online-Banking-Vereinbarung ist jedoch als Zusatzvertrag anzusehen, bezüglich dessen Mitwirkungspflichten des Bankkunden nur begründet werden können, wenn dieser Partner des Vertragsverhältnisses wird. Auch ist fraglich, ob es unter dem Gesichtspunkt von Treu und Glauben gem. § 242 BGB dem Bankkunden zumutbar ist, aufgrund eines bestehenden allgemeinen Rahmenvertrags das Kreditinstitut darüber zu unterrichten, dass ein vermeintlich 82
Vgl. dazu Sonnenhol in Hellner/Steuer, Bankrecht und Bankpraxis, Rn.1/307 ff.
4.1 Online-Banking
37
in seinem Namen abgeschlossener Vertrag mangels seiner Mitwirkung nicht zustande gekommen ist, wenn der Anschein eines Vertragsabschlusses nur deshalb hat entstehen können, weil das Kreditinstitut ein Verfahren angeboten hat, aufgrund dessen die unmittelbare Mitwirkung des Kunden nicht erforderlich war. Eine andere Beurteilung kommt nur dann in Betracht, wenn es sich um Aufträge oder Zusatzverträge innerhalb eines bereits bestehenden Vertragsverhältnisses handelt. Deshalb dürfte die Erteilung eines Auftrags über einen Online-BankingKanal durch einen Unberechtigten die Pflicht des Bankkunden, sein Kreditinstitut über Anhaltspunkte oder Vermutungen, die auf einen solchen Missbrauch hinweisen, unverzüglich zu unterrichten, nur dann begründen, wenn er effektive Kenntnis von einer darauf zurückzuführenden Buchung auf seinem Konto oder Depot hat, denn in einem solchen Fall würde es sich um Informationen handeln, die er innerhalb eines bereits bestehenden Vertragsverhältnisses erhalten würde, aufgrund dessen er zur Mitwirkung verpflichtet wäre. Deshalb ist es unter Sicherheitsgesichtspunkten sicherlich empfehlenswert – wenn nicht sogar geboten –, den Zugang zum Online-Banking-Verfahren zunächst außerhalb des Online-BankingZugangkanals zu vermitteln oder im Falle einer solchen Vermittlung erst endgültig frei zu schalten, wenn zuvor ohne Nutzung dieses Kanals eine Bestätigung des Vertrages durch den Bankkunden eingeholt worden ist. Die Vermittlung von Verträgen unter Einsatz von Online-Medien ist zwar rechtlich möglich und zulässig, gleichwohl sprechen Sicherheitsaspekte dafür, den Abschluss von Vereinbarungen nicht ausschließlich über solche Medien vorzunehmen. 4.1.3.2 Voraussetzungen für den Abschluss des Online-Banking-Vertrags Um am Online-Banking-Verfahren teilnehmen zu können, muss der OnlineBanking-Teilnehmer einen Konto- oder Depotvertrag mit dem diesen Service anbietenden Kreditinstitut abschließen.83 Außerdem müssen der Bankkunde und das den Service anbietende Kreditinstitut eine besondere Vereinbarung treffen, die als Rahmenvereinbarung für die Nutzung des Online-Zugangskanals für die über diesen zu tätigenden Bankgeschäfte anzusehen ist. Eine solche Rahmenvereinbarung umfasst die Festlegung von Pflichten und Beschreibungen, wie die Zugangsund Legitimationsmedien einzusetzen sind. Die Einzelheiten über den Einsatz sowie die einzuhaltenden Sorgfaltsanforderungen ergeben sich im Online-Banking aus der Vereinbarung über die Nutzung des Online-Banking mit PIN und TAN sowie aus den darüber in den Vertrag einbezogenen Online-Banking-Bedingungen. Die Vereinbarung über die Nutzung des Online-Banking mit PIN und TAN bildet zusammen mit den Online-Banking-Bedingungen die Grundlagenvereinbarung für den Online-Banking-Service. 83
Vgl. Hellner, Rechtsfragen des Zahlungsverkehrs unter besonderer Berücksichtigung des Bildschirm-Textverfahrens in Festschrift für Werner, 1984, 251 ff; Schwintowski/Schäfer, Bankrecht, § 5 Rn. 31.
38
4 Zahlungsverkehr über Online-Medien
Ein Bankkunde hat jedoch, selbst wenn er bereits einen Konto- oder Depotvertrag mit seinem Kreditinstitut abgeschlossen hat, keinen Anspruch auf Abschluss einer Online-Banking-Vereinbarung, da es in der Entscheidungsbefugnis des Kreditinstituts liegt, mit welchem ihrer Kunden es eine Online-Banking-Vereinbarung abschließen möchte. Die Verpflichtung eines Kreditinstituts, seine Kunden zum Online-BankingService zuzulassen, würde zunächst voraussetzen, dass jeder ein Recht auf ein Girokonto hätte. Dafür fehlt jedoch eine gesetzliche Grundlage, so dass ein solches auch nicht aus Allgemeinen Rechtsgrundsätzen abgeleitet werden kann.84 Ein derartiges Recht wäre mit dem zivilrechtlichen Grundsatz der Vertragsfreiheit nicht vereinbar.85 Aber selbst wenn der einzelne Verbraucher gegenüber einem Kreditinstitut ein Recht auf die Eröffnung eines Girokontos hätte, kann daraus nicht auch ein Recht auf den Zusatzservice „Online-Banking“ abgeleitet werden. Bei diesem handelt es sich um ein „entpersonalisiertes“ Verfahren, bei dem die Vertragsbeteiligten unter Nutzung eines Online-Zugangskanals miteinander kommunizieren, ohne dass die Beteiligten die letzte Sicherheit dafür haben, dass sie auch tatsächlich Nachrichten vom vermeintlichen Vertragspartner empfangen. Zwar soll die Eindeutigkeit der Zuordnung durch Legitimationsmedien und auch komplexe Sicherheitsverfahren (weitestgehend) gewährleistet werde, dennoch ist ein erhöhtes Missbrauchsrisiko zumindest dann nicht auszuschließen, wenn derjenige, dem als berechtigter Inhaber der Zugangs- und Legitimationsmedien (PIN und TAN) zur Verfügung gestellt wurden, mit diesen nicht im gebotenen Maße sorgfältig umgeht. Außerdem kann auch nicht ausgeschlossen werden, dass im Zuge der technischen Weiterentwicklung der zunächst als sicher anzusehende Online-Banking-Standard zukünftig nicht mehr das gebotene Maß an Sicherheit gewährleistet, so dass ein Kreditinstitut auch die Entscheidungsalternative haben muss, den Online-Banking-Service nicht mehr anzubieten. Diese Möglichkeit wäre mit einem Recht auf einen OnlineBanking-Zugang nicht vereinbar. In diesem Zusammenhang ist auch zu beachten, dass ein Kreditinstitut grundsätzlich das aus einem Missbrauch des Online-Banking-Service resultierende Risiko zu tragen hat, sofern nicht der Bankkunde einen evtl. Schaden schuldhaft (mit-)verursacht hat. Diese Risikoverteilung beruht darauf, dass ein Kreditinstitut für einen mittels Online-Banking erteilten Auftrag einen Aufwendungsersatzanspruch gegen seinen Kunden gem. § 670 BGB nur dann geltend machen kann, wenn dieser auch tatsächlich einen ihm zurechenbaren Auftrag erteilt hat. Sollte ein solcher nicht vorliegen oder nicht nachweisbar sein, kommen ggf. Schadensersatz gegen den Bankkunden nur dann in Betracht, wenn diesen eine Pflichtverletzung trifft. Zwar kommen einem Kreditinstitut im Falle eines vermeintlichen
84
Vgl. dazu zusammenfassend Schimansky in Bankrechts-Handbuch I., § 47 Rn. 2; Reifner, ZBB 1995, 243, 246 ff.
85
Vgl. Schimansky, in: Bankrechts-Handbuch I., § 47 Rn. 2.
4.1 Online-Banking
39
Missbrauchs der Zugangs- und Legitimationsmedien die Grundsätze zum Anscheinsbeweis zu gute, wonach es für den Nachweis eines Missbrauchs genügt, wenn das Sicherheitssystem funktioniert hat, nach aktuellem technischen Standard nicht oder nur mit einem unvertretbar hohem Aufwand überwunden werden kann und eine Transaktion unter Verwendung der dem Online-Banking-Teilnehmer zur Verfügung gestellten Identifikations- und Legitimationsmedien veranlasst wurde.86 Jedoch können begründete Zweifel an der Funktionsfähigkeit oder dem aktuellen Stand der Technik des Sicherheitssystems zur Folge haben, dass für die Anwendung der Grundsätze zum Anscheinsbeweis kein Raum mehr bleibt und dieser folglich ungeeignet ist, den Nachweis zu erbringen, dass der Inhaber der Legitimationsmedien mit diesen entweder unsorgfältig umgegangen ist oder eventuell sogar den Auftrag selbst erteilt hat. Aufgrund dieser Beweisrisiken muss ein Kreditinstitut die Freiheit haben darüber zu entscheiden, welchen Kunden es den Online-Banking-Service anbieten will. Die Bank muss deshalb die Befugnis haben, Bankkunden, bei denen damit gerechnet werden kann, dass sie nicht in der Lage oder Willens sind, das gebotene Maß an Sorgfalt einzuhalten, diesen Service nicht anzubieten. Darüber hinaus kann für das Online-Banking-Verfahren aufgrund der automatisierten Bearbeitung von Aufträgen ohne Einschaltung eines Bankmitarbeiters – neben der Zuverlässigkeit – auch die Bonität des Kunden eine erhebliche Rolle spielen. Deshalb wird in der Regel mit dem Online-Banking-Teilnehmer ein Verfügungsrahmen festgelegt, der seinen individuellen Gegebenheiten Rechnung trägt, und durch entsprechende organisatorische Maßnahmen dafür Sorge getragen, dass ein solcher bei Online-Banking-Transaktionen nicht überschritten werden kann. Trotzdem kann nicht ausgeschlossen werden, dass Bankkunden Aufträge innerhalb des ihnen eingeräumten Verfügungsrahmens erteilen, parallel dazu aber durch Ausstellen von Schecks oder die Erteilung von Einziehungsermächtigungen weitere spätere Kontobelastungen anstoßen, die dazu führen, dass der mit ihnen vereinbarte Rahmen überschritten wird. Daraus kann sich für das Kreditinstitut 86
Zu diesen Grundsätzen beim Parallelfall LG Köln v. 20.09.1994 – 11 S 338/92, WM 1995, 976 ff = WuB I. D5.c-3.96 Ahlers; AG Diepholz v. 06.09.1995 – 2 C 354/95 I, WM 1995, 1919 ff = WuB I. D5c.-1.96 Hertel; AG Schöneberg v. 09.09.1996 – 8 C 258/96, WM 1997, 66 f = WuB I. D5c.-2.97 Werner; AG Hannover v. 21.06.1996 – 537 C 3553/96, WM 1997, 64f = WuB I. D5c.-2.97 Werner; AG Frankfurt a.M. v. 03.02.1994 – 32 C 3336/94-19, WM 1995, 880 = WuB I. D5c.-2.97 Salje; AG Wuppertal v. 10.04.1997 – 35 C 351/96, WM 1997, 1209 ff = WuB I. 5c.-3.97 Aepfelbach/Cimiotti; AG Hannover, WM 1997, 1207 ff = WuB I. D5c.-3.97 Aepfelbach/Cimiotti; AG Charlottenburg v. 13.08.1997 – 76 C 280/97, WM 1997, 2082 ff = WuB I. D5c.-1.98 Werner; AG Frankfurt v. 31.10.1997 – 30C 1299/97 – 47, 30 C 1299/97, NJW 1998, 687f; AG Osnabrück v. 24.10.1997 – 47 C 335/97, NJW 1998, 688f; AG Dinslaken v. 29.04.1998 – 8 C 92/98, WM 1998, 1126 ff; Werner, WM 1997, 1516 ff; BGH WM 2004, 2309 = BGH BKR 2004, 493 m. Anm. Strube und Werner; Zur Anwendung dieser Grundsätze auf das Online-Banking: OLG Köln v. 24.10.1997 – 47 C 335/97, VersR. 1993, 840; von Rottenburg, WM 1997, 2381, 2391.
40
4 Zahlungsverkehr über Online-Medien
das Risiko der ungenehmigten Überziehung ergeben, denn z. B. mittels electroniccash erteilte Aufträge müssen ausgeführt werden, selbst wenn dadurch der Verfügungsrahmen überschritten wird,87 während andere Zahlungsvorgänge, wie z. B. Lastschriften, Überweisungsaufträge oder Schecks, im Falle einer mangelnden Deckung nicht ausgeführt werden müssen. Eine solche Zahlungsabweisung ist jedoch mit einem erheblichen manuellen und damit Kosten auslösenden Aufwand verbunden, sodass die Bank die Befugnis haben muss, durch ihre Entscheidung, wem sie den Service anbieten möchte, das für sie kalkulierbare Risiko und den drohenden Kostenaufwand so gering wie möglich zu halten. Daraus folgt auch die Befugnis der Bank, den Umfang des Online-Banking-Service für jeden Kunden individuell festzulegen.88 Aufgrund dessen ist eine Bank im Einzelfall auch berechtigt, den Abschluss des Online-Banking-Vertrags abzulehnen.89 4.1.3.3 Leistungsangebot und Risikoverteilung im Online-Banking Um durch die Online-Banking-Rahmenvereinbarung das Leistungsangebot nicht unnötig einzuschränken, sind die Online-Banking-Bedingungen hinsichtlich dessen offen ausgestaltet. Sie umfassen deshalb nur besondere Regelungen hinsichtlich des Zugangkanals, nicht jedoch hinsichtlich der über diese angebotenen Leistungen oder Produkte.90 Dadurch ist es einem Kreditinstitut möglich, nicht nur kunden- sondern auch produktbezogen zu entscheiden, ob und welche Bankdienstleistungen über den Online-Banking-Kanal angeboten bzw. vertrieben werden sollen, ohne dass der einzelne Online-Banking-Vertrag abgeändert werden müsste, sofern sich die über dieses Verfahren angebotene Produktpalette ändert. Das Kreditinstitut hat so auch die Möglichkeit, in das Online-Banking-Verfahren nur solche Dienstleistungen und Produkte einzustellen, bei denen die bereits vorhandenen produktimmanenten Risiken durch das Verfahren nicht noch zusätzlich erhöht werden. Außerdem ist es so möglich, den Anforderungen einer anlage- und anlegergerechten Beratung gerecht zu werden und nur solche Produkte anzubieten, die einer solchen Beratung nicht bedürfen oder bei denen eine den rechtlichen Anforderungen genügende Beratung sichergestellt werden kann. Insbesondere werden nur solche Produkte über das Online-Banking angeboten werden, die in der Regel einer anlegergerechten Beratung nicht bedürfen. Kann durch den Vertrieb bestimmter Produkte oder Bankdienstleistungen über den Online-Banking-Kanal nicht sichergestellt werden, dass ein Kunde hinrei-
87
Vgl. zur ec-Garantie, die zwar für den Scheck nicht mehr gilt, wohl aber für das electronic-cash-Verfahren Werner in Hellner/Steuer, Bankrecht und Bankpraxis Rn. 6/1338 ff; Nobbe in Bankrechts-Handbuch I., § 63 Rn. 10; Kümpel, Bank- und Kapitalmarktrecht, Rn. 4.899 ff; Ahlers, WM 1995, 601; Häde, ZBB 1994, 33; Schröter, ZBB 1995, 395.
88
Vgl. Gößmann in Bankrechts-Handbuch I., 2. Auflage 2001, § 55 Rn. 17.
89
Vgl. Liesecke, WM 1975, 214 (219); Schwintowsky/Schäfer, Bankrecht, § 12 Rn. 47.
90
Vgl. Gößmann in Bankrechts-Handbuch I., § 55 Rn. 12.
4.1 Online-Banking
41
chend über die Risiken eines entsprechenden Produkts aufgeklärt wird, ist es nicht empfehlenswert, ein solches über den Online-Banking-Kanal anzubieten. Folglich ist bei Bankprodukten und Bankdienstleistungen, bei denen aufgrund der Komplexität oder der Risikolage ein erhöhter individualisierter Beratungsbedarf besteht, sorgfältig abzuwägen, ob und ggf. unter welchen Voraussetzungen diese über das Online-Banking-Verfahren vertrieben werden sollen, wobei dabei auch zu berücksichtigen ist, dass im Streitfall das Kreditinstitut den Nachweis führen muss, einen Kunden vollständig und richtig über alle für ihn entscheidungsrelevanten Tatsachen und Umstände aufgeklärt zu haben.91 Schließlich muss beim Vertrieb von Produkten, die einer kundenindividuellen Beratung bedürfen, über den Online-Banking-Service auch sichergestellt werden, dass nicht nur eine produkt- sondern auch eine kundenbezogene Beratung erfolgen kann, die die persönlichen Verhältnisse und Bedürfnisse des einzelnen Kunden in angemessenem Umfange berücksichtigt.92 Im Zusammenhang mit dem Zahlungsverkehr über Online-Kanäle sind Beratungs- und Aufklärungspflichten jedoch eher zweitrangig, da das eigentliche Produkt, die Zahlungsabwicklung, keiner aktiven Beratung bedarf. Gleichwohl gibt es im Überweisungsverkehr Aufklärungspflichten des Kreditinstituts, so z. B. wenn es Kenntnis von der Insolvenz der Empfängerbank oder des Zahlungsempfängers erlangt hat.93 Diese sind allerdings nicht spezifisch für das Online-Banking, sondern knüpfen an den Überweisungsverkehr an. Sie werfen dann kein Problem auf, wenn der Überweisungsauftrag zwar über das Netz erteilt, danach jedoch im Rahmen des normalen Geschäftsgang bearbeitet wird, sodass dann die erforderlichen Maßnahmen bei Besonderheiten eingeleitet werden können. Sollte jedoch elektronisch durchgebucht werden, ohne dass das Kreditinstitut den Zahlungsauftrag selbst noch überprüft, könnte es seinen Warnpflichten nicht mehr nachkommen, so dass bei der Erteilung eines Zahlungsauftrags über einen Online-BankingZugangskanal ein erhöhtes Risiko bestünde, dass die gegenüber dem Auftraggeber bestehenden Warnpflichten hinsichtlich einer drohenden Insolvenz der Empfängerbank oder des Zahlungsempfängers nicht eingehalten werden könnten. In den Fällen, in denen ein Kreditinstitut Warnpflichten trifft, wird es dafür Sorge tragen müssen, dass Aufträge, die an eine Empfängerbank weitergeleitet werden sollen, die insolvent ist, bei der Insolvenz droht oder die einem Empfänger gutgeschrieben werden sollen, der insolvent ist oder zu werden droht, nicht automatisch durchgebucht werden. Vielmehr sind für solche Fälle technische Vorkehrungen zu treffen, damit solche Aufträge ausgesondert und individuell bearbeitet 91
BGH v. 14.11.1991 – IX ZR 250/90, WM 1992, 807; BGH v. 28.01.1985 – II ZR 10/84, WM 1985, 381=WuB I., D4.-2.85 Locher.
92
Zur Notwendigkeit der individuellen Beratung vgl. BGH v. 23.11.1979 – I ZR 161/77 WM 1980, 284; BGH v. 04.11.1987 – IV a ZR 145/86 WM 1988, 41; BGH WM 1982, 432=BuB I., G7.-4.92 von Heymann; Zu den Aufklärungs- und Beratungspflichten vgl. Kümpel, Bank- und Kapitalmarktrecht, Rn. 16.532 ff.
93
Vgl. Siol in Bankrechts-Handbuch I., § 44 Rn. 69 ff m.w.N.
42
4 Zahlungsverkehr über Online-Medien
werden. Allerdings gilt dies nur, soweit Warnpflichten bestehen.94 Selbstverständlich gibt es solche nur, soweit dadurch ein Kreditinstitut nicht das Bankgeheimnis verletzt. Erlangt es Kenntnis von der drohenden Insolvenz einer mit ihr geschäftlich verbundenen Bank oder eines ihrer Kunden, muss es sorgfältig die Interessen des Auftraggebers und des Zahlungsempfängers gegeneinander abwägen und entscheiden, ob sie den Auftraggeber warnt oder nicht, um zu vermeiden, dass sie das Bankgeheimnis verletzt und dadurch ggf. Sanierungsversuche beeinträchtigt.95 Solche Warnpflichten, für deren Einhaltung entsprechende technische Vorkehrungen getroffen werden müssen, bestehen nicht nur bei positiver Kenntnis von der Insolvenz einer in die Transaktion eingebundenen Bank oder eines Kunden, sondern bereits dann, wenn das Kreditinstitut typischerweise damit rechnen konnte.96 Es lassen sich allerdings die Kontrollpflichten eines Kreditinstituts bei einer ausschließlich automatischen Bearbeitung hinsichtlich eines Missbrauchs der Vertretungsmacht einschränken, sofern mit dem Bankkunden die ausschließlich elektronische Bearbeitung vereinbart worden ist und er zuvor auf die sich daraus ergebenden Risiken eindeutig hingewiesen worden ist. Während bei einer manuellen Bearbeitung ein ungewöhnlicher Auftrag eines Vertreters als Verdachtsmoment gewertet werden kann, und damit Anlass ist zu überprüfen, ob der Vertreter auch tatsächlich im Rahmen der ihm vom Konto- oder Depotinhaber eingeräumten Kontovollmacht gehandelt hat, sind solche Auffälligkeiten bei einem ausschließlich elektronisch bearbeiteten Auftrag nicht erkennbar, sofern die dem Vertreter zur Verfügung gestellten Legitimationsmedien eingesetzt werden und sich der Auftrag im eingeräumten Verfügungsrahmen bewegt. Allerdings führt die elektronische Bearbeitung letztlich nicht dazu, das Handeln eines NichtVertretungsberechtigten dem Online-Banking-Kunden zuzurechnen, sondern es kann nur eine umfassende Vertretungsbefugnis eingeräumt werden, die keinen Einschränkungen unterliegt. Daneben hat ein Kreditinstitut, das den Zahlungsverkehr über den OnlineBanking-Service anbietet, Aufklärungs- und Beratungspflichten im Zusammenhang mit dem Online-Banking-Service, damit der Bankkunde diesen effektiv nutzen kann, aber auch für die damit verbundenen Risiken sensibilisiert wird. Die Bank trifft deshalb im Zusammenhang mit diesem Service verschiedene Aufklärungs- und Beratungspflichten, die sich insbesondere auf die Missbrauchsgefahren beziehen.97
94
Vgl. im einzelnen Siol in Bankrechts-Handbuch I., § 44 Rn. 68 ff.
95
Obermüller, Insolvenzrecht in der Bankpraxis, Rn. 3/56.
96
Vgl. BGH v. 29.09.1986 – II ZR 283/95, NJW 1987, 317, 318; Obermüller, Insolvenzrecht in der Bankpraxis, Rn. 3/65; Hellner ZHR 145 (1981) 109.
97
Vgl. Gößmann in Bankrechts-Handbuch I., § 55 Rn. 19; Reiser WM 1986, 1403; Hellner, Rechtsfragen des Zahlungsverkehrs unter besonderer Berücksichtigung des Bildschirmtext-Verfahrens in FS-Werner, 1984, 251 (260); BGH v. 21.12.1984 – V ZR 204/83 NJW 1985, 849.
4.1 Online-Banking
43
Zu den sich daraus ergebenden Pflichten gehört es insbesondere, dem Kunden die Funktionsweise des Online-Banking-Systems so verständlich zu erläutern, dass ihm bewusst wird, unter welchen Voraussetzungen ein erhöhtes Missbrauchsrisiko besteht und wie er diesem vorbeugen kann. Der Online-Banking-Nutzer muss, will er das Online-Banking-System effektiv und risikolos nutzen können, über den Einsatz der Legitimations- und Zugangsmedien aufgeklärt werden. Darüber hinaus muss die Bank auch erläutern, wie eine eventuelle Fehleingabe korrigiert werden kann und wie der Bankkunde sich zu verhalten hat, wenn es zu einem Missbrauch seiner Medien gekommen ist oder er einen diesbezüglichen Verdacht hat. Außerdem muss das den Online-Banking-Service anbietende Institut seinem Kunden verdeutlichen, unter welchen Voraussetzungen es zu einem Missbrauch seiner Medien kommen kann, um ihm die Möglichkeit zu geben, einen solchen zu verhindern. Dabei dürfen die Anforderungen an die Sorgfaltspflichten jedoch nicht überzogen werden. Werden zu hohe Anforderungen gestellt, deren Einhaltung für den Bankkunden unzumutbar ist, kann von diesem kaum verlangt werden, sich daran zu orientieren. Folglich wäre es z. B. unzumutbar, wenn der Verbraucher angehalten würde, die Nummern des TAN-Blocks auswendig zu lernen und ihn danach zu vernichten. Nur wenige Menschen werden die Fähigkeit besitzen, sich eine Folge von bis zu 50 Zahlen nicht nur merken zu können, sondern auch immer zu wissen, welche Zahlen nicht mehr benutzt werden dürfen. Dagegen ist es zumutbar, den Verbraucher anzuhalten, den TAN-Block oder den TAN-Generator so sorgfältig aufzubewahren, dass kein Dritter Zugriff darauf nehmen kann. Der Online-Banking-Teilnehmer ist folglich dafür zu sensibilisieren, dass die ihm zur Verfügung gestellten Medien den Zugriff zu seinem Konto oder seinem Depot erlauben und deshalb vor einem Zugriff oder der Kenntnisnahme Unberechtigter unbedingt geschützt werden müssen.98 Schließlich dürfen die technischen Anforderungen und Erläuterungen auch nicht zu hoch geschraubt werden, da ein Kreditinstitut nicht erwarten kann, dass der Nutzer eines Online-Banking-Services vertiefte technische Kenntnisse besitzt. Alle Sicherheitsvorkehrungen sind deshalb so auszuführen und zu erläutern, dass der durchschnittliche Verbraucher, der keine vertieften EDV-Kenntnisse besitzt, in der Lage ist, den an ihn gestellten Anforderungen gerecht zu werden. Sollten jedoch bestimmte Vorkenntnisse für die Nutzung eines Online-Banking-Services erforderlich sein, hat das Kreditinstitut im Vorfeld den Benutzer darauf zumindest deutlich hinweisen, damit er selbst überprüfen und entscheiden kann, ob die Anforderungen für ihn erfüllbar sind. Hat das Kreditinstitut hinreichend deutlich auf die erforderlichen Kenntnisse hingewiesen und ein Verbraucher, der diese nicht besitzt, angenommen, er könne diesen gerecht werden, liegt der auf mangelnde technische Kenntnisse zurückzuführende Missbrauch nicht mehr im Risikobereich des Kreditinstituts, sondern des Kunden, der einen entsprechenden Servicevertrag abgeschlossen hat, obwohl er wusste oder hätte zumindest wissen können, dass er nicht die erforderlichen Vorkenntnisse besaß. 98
Vgl. Gößmann in Bankrechts-Handbuch I., § 55 Rn. 20f.
44
4 Zahlungsverkehr über Online-Medien
Die Online-Banking-Bedingungen enthalten keine Beschreibungen eines Leistungsangebots, sondern sind offen gestaltet, so dass sie durch die für das jeweilige Bankgeschäft geltenden Sonderbedingungen ergänzt werden. Sie regeln deshalb ausschließlich die Rahmenbedingungen für den Online-Banking-Zugang, nicht jedoch auch die Rechtsgrundlagen für die darüber vertriebenen Produkte. Sofern in den Sonderbedingungen für einzelne Bankprodukte oder Bankdienstleistungen Regelungen enthalten sind, die von den Online-Banking-Bedingungen abweichen, gehen die Regelungen der Sonderbedingungen vor, es sei denn, durch das Online-Banking-Verfahren werden Produkte oder Dienstleistungen in so erheblichem Umfange modifiziert, dass die Online-Banking-Bedingungen als „lex specialis“ gegenüber den Sonderbedingungen für die einzelnen Bankprodukte oder Dienstleistungen anzusehen sind. Im Online-Banking ergeben sich deshalb die vertraglichen Grundlagen für ein Geschäft aus der Kombination der Online-Banking-Bedingungen mit den Sonderbedingungen, die für die jeweiligen Produkte gelten. Die Online-Banking-Vereinbarung ist deshalb als Online-Banking-Rahmenvertrag, der jeweils gesondert in Abhängigkeit für das jeweilige Produkt oder die jeweilige Dienstleistung durch ergänzende Sonderbedingungen auszufüllen ist, anzusehen. Um in Einzelfällen die Risiken aus dem Online-Banking, die entweder aus dem Zugangskanal, dem kundenspezifischen Verhalten oder aus einem Produkt resultieren können, auszuschließen, liegt es auch nach Abschluss einer entsprechenden Online-Banking-Rahmenvereinbarung im Ermessen des Kreditinstituts zu entscheiden, unter welchen Voraussetzungen es bestimmte Serviceleistungen in das Online-Banking-Angebot gegenüber dem konkreten Kunden als auch generell aufnehmen möchte. Es ist möglich, das Online-Banking-Angebot nicht nur produkt-, sondern auch kundenbezogen abzustufen und zu entscheiden, welche Dienstleistungen einem Kunden über den Online-Banking-Zugangskanal angeboten werden.99 Sofern der Zahlungsverkehr als Dienstleistung über das Online-BankingVerfahren angeboten wird, sind die Erwägungen zum Risiko durch mangelnde Aufklärung jedoch eher zweitrangig. Hier beziehen sich Aufklärungs- und Beratungspflichten primär auf den Online-Banking-Zugang und den Verfahrensablauf, nicht jedoch auf die konkrete Bankdienstleistung. Die Bank genügt deshalb ihren Aufklärungs- und Beratungspflichten, wenn sie dem Bankkunden das OnlineBanking-Verfahren verständlich erläutert und deutlich auf die sich daraus ergebenden Risiken hinweist. Sie muss ihrem Kunden insbesondere verdeutlichen, das er dafür Sorge zu tragen hat, dass kein Unberechtigter PIN und TAN zur Kenntnis nehmen kann, da mit Hilfe dieser beiden Medien Verfügungen zu Lasten des Kundenkontos veranlasst und Kontendaten eingegeben werden können.100 Zur
99
Vgl. Gößmann in Bankrechts-Handbuch I., § 55 Rn. 20f.
100
Vgl. zur Geheimhaltungsverpflichtung Gößmann in Bankrechts-Handbuch I., § 55 Rn. 19 ff.
4.1 Online-Banking
45
Absicherung von Angriffen mittels E-Mail („Phishing“ und „Pharming“) muss sie den Kunden auch darauf hinweisen, jeweils das aktuellste Virenschutz-Programm auf seinem Computer zu installieren. Soweit es um die Abwicklung des Zahlungsverkehrs geht, ist das OnlineBanking-Verfahren zum Abschluss und zur Ausführung von Überweisungsverträgen oder auch zur Einrichtung von Daueraufträgen geeignet. Dagegen ist es nicht möglich, Schecks online auszustellen, da die scheckrechtlichen Voraussetzungen gem. Artikel 1 ScheckG, die u. a. eine eigenhändige Unterschrift des Ausstellers sowie die „Urkunde“ voraussetzen, über Online-Kanäle nicht eingehalten werden können. Auch das Lastschriftverfahren ist – unabhängig davon, ob dieses über das Netz abgewickelt werden kann101 – zur Abwicklung über das Online-BankingVerfahren nicht geeignet, da die Einziehungsermächtigung nicht gegenüber dem Kreditinstitut, mit dem die Online-Banking-Vereinbarung abgeschlossen wird, erteilt wird, sondern gegenüber dem Zahlungsempfänger. Im Zahlungsverkehr kommt dem Online-Banking-Verfahren deshalb in erster Linie Bedeutung beim Abschluss von Überweisungsverträgen und der Einrichtung von Daueraufträgen zu. Die Kombination verschiedener Identifikations- bzw. Legitimationsmedien ist im elektronischen Zahlungsverkehr nicht untypisch. Auch soweit unter Einsatz der ec-Karte Zahlungen im electronic-cash-Verfahren durchgeführt werden, ist der Einsatz einer PIN zusammen mit einem Zugangsmedium, der Karte, erforderlich. Gleiches gilt für Abhebungen an Geldautomaten. Auch das mittlerweile eingestellte SET-Verfahren, d. h. ein elektronisches Verfahren, über das Zahlungen im Kreditkartenverfahren unter Einsatz einer elektronischen Signatur möglich waren,102 setzte den Einsatz eines Legitimations- und eines Zugangsmediums – einer PIN mit einer elektronischen Signatur – voraus. Der kombinierte Einsatz von zwei Zugangs- und Legitimationsmedien ist ein typisches Sicherungsverfahren für den elektronischen Bankgeschäftsverkehr und soll dazu beitragen, es Unberechtigten unmöglich zu machen, Zugriff auf ein Konto zu nehmen.
4.1.4
Haftungsrisiken
4.1.4.1 Geheimhaltungs- und Sicherungspflichten des Online-Banking-Nutzers Die Geheimhaltungsverpflichtung ist ein wesentlicher Bestandteil des Sicherungskonzepts im Online-Banking. Da die Auftragserteilung ausschließlich unter Einsatz von PIN und TAN erfolgt, hat ein Kreditinstitut keine Möglichkeit zu überprüfen, ob auch tatsächlich der Berechtigte gehandelt hat. Im Zweifel ist es nicht 101
Vgl. dazu Werner, BKR 2002, 11 und 387f; Schneider, BKR 2002, 384f; Weber, Zahlungsverfahren im Internet, Köln 2002, 181f.
102
Vgl. Pichler, NJW 1998, 3234 ff.
46
4 Zahlungsverkehr über Online-Medien
möglich, den unmittelbaren Beweis zu führen, dass der Bankkunde selbst einen Auftrag erteilt hat. Folglich kann allenfalls mittelbar der Nachweis geführt werden, dass nur der Kunde selbst verfügt haben kann. Dazu gehört zum einen, dass das Sicherungssystem mit einem vertretbaren technischen oder wirtschaftlichen Aufwand nicht überwunden werden kann und zum anderen der Bankkunde sowohl deutlich über die Risiken aufgeklärt wurde als auch die Anforderungen an den Kunden, die Sorgfaltspflichten einzuhalten, zumutbar sind. Sollten diese Voraussetzungen vorliegen, begründet der Einsatz von PIN und TAN zwar nicht den unmittelbaren Beweis, jedoch den Beweis des ersten Anscheins dafür, dass der Online-Banking-Teilnehmer selbst verfügt oder durch ein sorgfaltspflichtwidriges Verhalten schuldhaft zu einem Missbrauch seiner Medien beigetragen hat.103 Auch auf das Online-Banking-Verfahren sind die Grundsätze zum Anscheinsbeweis im Zusammenhang mit dem missbräuchlichen Einsatz der Legitimationsmedien anwendbar, da sich der Zugang zum Online-Banking hinsichtlich des Ablaufs nicht grundsätzlich vom Einsatz der ec-Karte mit einer PIN zur Vornahme von Zahlungen unterscheidet, auch wenn die technische Infrastruktur beider Systeme nicht miteinander vergleichbar ist. Die rechtlichen Grundsätze sind jedoch vergleichbar, soweit das Sicherheitssystem im Online-Banking kein niedrigeres Niveau hat als das ec-PIN-Verfahren104. Gäbe es das Institut des Anscheinsbeweises nicht oder wäre dieses auf das Online-Banking-Verfahren nicht übertragbar, hätte die Bank, die das Online-BankingVerfahren anbietet, das Missbrauchsrisiko in all den Fällen zu tragen, in denen nicht der Nachweis gelänge, dass der Online-Banking-Teilnehmer entweder selbst verfügt oder schuldhaft zum Missbrauch seiner Medien beigetragen hat. Dagegen kann die Rechtsfigur des Anscheinsbeweises dann keine Anwendung finden, wenn das Sicherheitssystem mit vertretbarem technischem oder wirtschaftlichem Aufwand überwindbar ist, da dann im Falle eines Einsatzes der Medien nicht davon 103
Vgl. zur entsprechenden Problematik beim Anscheinsbeweis im ec-System: LG Köln v. 20.09.1994 – 11 S 338/92, WM 1995, 976 ff = WuB I. D5.c-3.96 Ahlers; AG Diepholz v. 06.09.1995 – 2 C 354/95 I, WM 1995, 1919 ff = WuB I. D5c.-1.96 Hertel; AG Schöneberg v. 09.09.1996 – 8 C 258/96, WM 1997, 66 f = WuB I. D5c.-2.97 Werner; AG Hannover v. 21.06.1996 – 537 C 3553/96, WM 1997, 64f = WuB I. D5c.-2.97 Werner; AG Frankfurt a.M. v. 03.02.1994 – 32 C 3336/94-19, WM 1995, 880 = WuB I. D5c.2.97 Salje; AG Wuppertal v. 10.04.1997 – 35 C 351/96, WM 1997, 1209 ff = WuB I. 5c.-3.97 Aepfelbach/Cimiotti; AG Hannover, WM 1997, 1207 ff = WuB I. D5c.-3.97 Aepfelbach/Cimiotti; AG Charlottenburg v. 13.08.1997 – 76 C 280/97, WM 1997, 2082 ff. = WuB I. D5c.-1.98 Werner; AG Frankfurt v. 31.10.1997 – 30C 1299/97 – 47, 30 C 1299/97, NJW 1998, 687f; AG Osnabrück v. 24.10.1997 – 47 C 335/97, NJW 1998, 688f; AG Dinslaken v. 29.04.1998 – 8 C 92/98, WM 1998, 1126 ff; BGH WM 2004, 2309 = BGH BKR 2004, 493, m. Anm. Strube und Werner; Werner, WM 1997, 1516 ff; zur Anwendung dieser Grundsätze auf das Online-Banking: OLG Köln v. 24.10.1997 – 47 C 335/97, VersR. 1993, 840; von Rottenburg, WM 1997, 2391.
104
Vgl. OLG Oldenburg NJW 1993, 1404f; OLG Köln, VersR 1993, 840; von Rottenburg, WM 1997, 2381 (2391); Gößmann in Bankrechts-Handbuch I., § 55 Rn. 26.
4.1 Online-Banking
47
ausgegangen werden kann, dass der Missbrauch allein auf ein Verschulden des Zugangsberechtigten zurückzuführen ist. Um Zugang zum Konto oder Depot zu erhalten und Aufträge zu erteilen, sind die verschiedenen Medien zeitlich hintereinander einzusetzen. Zugang zum Konto erhält der Online-Banking-Teilnehmer, in dem er seine Konto- bzw. Depotnummer und / oder seine Kundennummer sowie seine PIN eingibt. Will er außerdem auch eine Transaktion veranlassen, muss er eine TAN einsetzen. Auch wenn mit dem Zugang zum Konto bzw. Depot selbst noch keine Verfügungsmöglichkeiten verbunden sind, ist die Legitimation unter Einsatz eines Passwortes deshalb erforderlich um sicherzustellen, dass kein Unberechtigter Kontound / oder Depotstände des Kunden abfragen kann, denn nur so ist es möglich, das Bankgeheimnis zu wahren. Die Eingabe einer Konto- oder Depotnummer und ggf. einer Bankleitzahl als alleinige Zugangsmöglichkeit würde den Anforderungen an den Schutz des Bankgeheimnisses nicht genügen, da die bezeichneten Daten vom Konto- bzw. Depotinhaber nicht nur nicht geheim gehalten werden müssen, sondern dies nicht einmal möglich ist. Da ein Konto zur Abwicklung des Zahlungsverkehrs dient, werden die Kontendaten all denjenigen bekannt gegeben, die Einzahlungen auf dieses Konto vornehmen wollen oder sollen. Damit jedoch werden diese Daten einer Vielzahl von Personen bekannt gegeben. Da ein Depot in der Regel die gleiche Nummer trägt wie das Konto, dem es zugeordnet ist, ist es auch nicht möglich, die Depotdaten geheim zu halten. Deshalb ist es erforderlich, zusätzliche Sicherheitsmechanismen einzubauen, die einem Unberechtigten den Zugang unmöglich machen. Aufgrund dessen ist, um Zugang zu einem Konto oder Depot zu erhalten, neben der Eingabe der Kontendaten auch die Verwendung einer PIN erforderlich, da nur so den Anforderungen des Bankgeheimnisses Genüge getan werden kann.105 In einer unzureichenden Sicherung des Konto- oder Depotzugangs über OnlineMedien wäre zwar noch keine aktive Verletzung des Bankgeheimnisses zu sehen, die erleichterte Möglichkeit zur Kenntnisnahme der Bankkundendaten durch einen Dritten würde jedoch bedeuten, dass dieser einen unberechtigten Zugang zum Konto oder Depot erhalten könnte. Die Kreditinstitute sind nicht nur verpflichtet, das Bankgeheimnis dadurch zu wahren, dass Kundendaten nicht aktiv weitergegeben werden, sondern sie müssen diese auch so sichern, dass Unberechtigte nicht in die Lage versetzt werden, von diesen Kenntnis nehmen zu können. Während in einer bewussten Weitergabe von Informationen über einen Kunden eine vorsätzliche Verletzung des Bankgeheimnisses zu sehen ist, wäre ein sorgfaltspflichtwidriger Umgang, der auch durch ein unzureichendes Sicherheitssystem verwirklicht werden kann, zumindest als fahrlässige Pflichtverletzung im Zusammenhang mit dem Bankgeheimnis anzusehen, für die das Kreditinstitut ebenfalls einzustehen hat.106 105
Vgl. zur Bedeutung des Bankgeheimnisses Bruchner/Krepold in Bankrechts-Handbuch I., § 39 Rn. 1 ff.
106
Zu den Sorgfaltspflichten bei der Sicherung des Bankgeheimnisses vgl. Bruchner/Krepold in Bankrechts-Handbuch I., § 39 Rn. 115 ff.
48
4 Zahlungsverkehr über Online-Medien
Der Zugang zum Konto ist deshalb durch sorgfältige Aufbewahrung der Legitimations- und Zugangsmedien – wie unter 3.3.1 im einzelnen dargestellt –umfassend zu sichern, auch wenn durch den Zugang allein noch keine Transaktionen veranlasst werden können, geht es doch um die Sicherung des Bankgeheimnisses. 4.1.4.2 Aufklärungspflichten der Bank Daneben ist das Kreditinstitut, sofern es nicht alle Online-Banking-Zugangskanäle als sicher einschätzt, verpflichtet, den Kunden anzuhalten, nur solche Zugangswege zu nutzen, die vom Online-Banking-Anbieter als sicher eingeschätzt werden. Eine uneingeschränkte Kommunikation über alle in Betracht kommenden Zugangskanäle könnte ggf. zu erhöhten Sicherheitsrisiken führen. Ist das den OnlineBanking-Service anbietende Kreditinstitut seinen Verpflichtungen nachgekommen, hat sich der Online-Banking-Teilnehmer an die ihm auferlegten und erfüllbaren Pflichten nicht gehalten, haftet er für die von ihm verursachten Schäden. Hat jedoch das Kreditinstitut, das den entsprechenden Service anbietet, seine Kunden nicht deutlich und verständlich über den Verfahrensablauf sowie die damit in Zusammenhang stehenden Risken aufgeklärt und ihn darauf hingewiesen, wie er diese ausschließen kann, muss das Kreditinstitut eventuell aus einem Missbrauch resultierende Schäden tragen. Gleiches gilt, wenn das Kreditinstitut Zugangskanäle anbietet, die nicht sicher sind oder nicht vor solchen warnt. Der Online-Banking-Teilnehmer ist nur dann für die von ihm verursachten Schäden verantwortlich, wenn er klar, umfassend und eindeutig von seinem Kreditinstitut über die mit dem Online-Banking-Verfahren verbundenen Risiken unterrichtet wurde und für ihn die zumutbare Möglichkeit bestand, diese Risiken zu vermeiden. Verletzt ein Kreditinstitut die entsprechenden Unterrichtungsoder Aufklärungspflichten, so hat es die daraus resultierenden Risiken von ihm zu tragen. Sind Schäden im Online-Banking-Verfahren darauf zurückzuführen, dass sowohl das diesen Service anbietende Kreditinstitut als auch der teilnehmende Kunde die ihnen jeweils obliegenden Pflichten verletzt haben, kommt unter Anwendung der Regelungen zum Mitverschulden gem. § 254 BGB eine Schadensteilung in Betracht, wobei es vom Grad der jeweiligen Mitverschuldensbeiträge der Beteiligten abhängt, wie die Schäden konkret aufzuteilen sind. 4.1.4.3 Spezielle Sorgfaltspflichten im Zahlungsverkehr Im Zahlungsverkehr ist das Online-Banking-Vefahren in erster Linie für die Generierung von Überweisungsaufträgen und – im Anwendungsbereich des Überweisungsgesetzes – als Medium zur Vermittlung von Überweisungsverträgen geeignet. Um Aufträge erteilen zu können ist – wie im Einzelnen bereits detailliert an anderer Stelle geschildert – der kombinierte Einsatz von PIN und TAN erforderlich. Neben den Sorgfaltspflichten im Zusammenhang mit dem Umgang mit den Zugangsmedien trifft den Online-Banking-Nutzer die Verpflichtung, den Namen
4.1 Online-Banking
49
des Zahlungsempfängers, dessen Kontonummer und die Bankleitzahl einzugeben, wie sich dies aus § 676 Abs. 3 Satz 3 BGB ergibt, da die Ausführungsfrist – soweit nichts anderes vereinbart ist – erst mit Ablauf des Tages beginnt, an dem der Name des Begünstigten, sein Konto, sein Kreditinstitut und die sonst zur Ausführung der Überweisung erforderlichen Angaben dem überweisenden Kreditinstitut vorliegen. Da diese Angaben für die Ausführung erforderlich sind, trifft den Überweisenden die Verpflichtung, dem Kreditinstitut gegenüber diese Angaben bei Auftragserteilung zu machen. Aus der höchstrichterlichen Rechtsprechung zum Überweisungsverkehr ergibt sich, dass sich das erstbeauftragte Kreditinstitut, d. h. die überweisende Bank, ausschließlich an dem in Klarschrift angegebenen Namen des Zahlungsempfängers zu orientieren hat. Die Kontonummer ist zweitrangig, da der angegebene Name der Kontonummer vorgeht, sofern es eine Diskrepanz zwischen beiden geben sollte.107 Allerdings orientieren sich die an der Ausführung einer Überweisung beteiligten Kreditinstitute nicht nur am Namen, sondern auch an der Kontonummer. Ein Kreditinstitut hat den Auftrag zur Ausführung einer Überweisung nur dann ordnungsgemäß ausgeführt, wenn der Überweisungsbetrag dem Konto des angegebenen Empfängers gutgeschrieben wurde. Andernfalls steht ihm der Aufwendungsersatzanspruch gem. § 670 BGB nicht zu. Die Verpflichtung aus einem Überweisungsvertrag, den Überweisungsbetrag zu übermitteln, ist nicht erfüllt, wenn zwar das angegebene Konto erkannt wurde, dies jedoch nicht dem Zahlungsempfänger gehört. Gibt es eine Diskrepanz zwischen dem angegebenen Konto und dem angegebenen Empfänger, ist das Kreditinstitut, das den Überweisungsbetrag dem Begünstigten gutschreibt, verpflichtet, sich am angegebenen Empfänger und nicht an der angegebenen Kontonummer zu orientieren und hat in Zweifelsfällen zurückzufragen.108 In der Rechtsprechung ist es jedoch zum Teil als zulässig erachtet worden, die Maßgeblichkeit der Kontonummer zu vereinbaren, sofern die Überweisung im Verhältnis der Banken untereinander beleglos ausgeführt wird.109 Im Verhältnis zum überweisenden erstbeauftragten Institut spielt es jedoch keine Rolle, ob im Inter-Bankenverhältnis die Weiterverarbeitung beleglos erfolgt, denn die Rechte und Pflichten aus diesem Verhältnis sind letztlich von den Regelungen im InterBankenverkehr unabhängig.110
107
Vgl. OLG München v. 10.01.1995 – 25 U Us 14/94, WM 1995, 2137; BGH v. 08.10.1991 – XI ZR 207/90, WM 1991, 1912; BGH v. 09.07.1991 – XI ZR 72/90, WM 1991, 1452; BGH v. 03.10.1089 – XI ZR 163/88, WM 1989, 1754; BGH v. 09.03.1987 – II ZR 238/86, WM 1987, 530; Nobbe, WM-Sonderbeilage 4/2001, 15 m.w.N.
108
Zum Kontonummer-Namensvergleich vgl. Schimansky in Bankrechts-Handbuch I., § 49 Rn. 83.
109
Vgl. OLG Hamm, WM 1994, 1027=WuB I. D-6.94 Wand; Nobbe, WM-Sonderbeilage 4/2001, 16.
110
Vgl. Schimansky in Bankrechts-Handbuch I., § 49 Rn. 84.
50
4 Zahlungsverkehr über Online-Medien
Außerdem folgt aus § 676a Abs. 1 BGB, dass es allein auf die Maßgeblichkeit der Bezeichnung des Empfängers ankommt. Damit jedoch ist die Frage, ob die Kontonummer oder der Name des Empfängers für die Auftragsausführung maßgeblich sind, obsolet. Durch das Überweisungsgesetz ist damit die bisherige Rechtsprechung zur Maßgeblichkeit der Empfängerbezeichnung manifestiert worden.111 Außerdem ist in Nr. 3 Abs. 2 des Abkommens zum Überweisungsverkehr, das zwischen den Spitzenverbänden der deutschen Kreditwirtschaft und der Deutschen Bundesbank abgeschlossen wurde, ausdrücklich festgelegt, dass das Kreditinstitut des Begünstigten den Kontonummer-Namens-Vergleich durchzuführen hat. Daraus ergibt sich, dass auch nach dem Überweisungsabkommen nunmehr der Name des Empfängers als maßgebliches Kriterium betrachtet wird. Etwas anderes kann nur dann in Betracht kommen, wenn der Überweisende ausdrücklich auf den Kontonummer-Namens-Vergleich verzichtet und die Kontonummer als maßgeblich bestimmt. Dazu ist jedoch eine ausdrückliche Vereinbarung Voraussetzung, wobei der Überweisende in diesem Fall von seinem Kreditinstitut ausdrücklich auf die mit dem Verzicht verbundenen Risiken hingewiesen werden muss. Möglich ist dies sicherlich im Rahmen einer Individual-Vereinbarung, doch dürfte es auch zulässig sein, wenn spezielle Verfahren angeboten werden, die ausdrücklich nur auf die Weiterverarbeitung der Kontendaten Bezug nehmen und als Ergänzung oder alternativ zum konventionellen Überweisungsverkehr angeboten werden.112 Sollte ein solches Verfahren neben dem konventionellen Überweisungsverfahren angeboten werden, ist darin keine Umgehung der Anforderungen des Gesetzgebers an die Abwicklung des Überweisungsverkehrs zu sehen, sondern eine zusätzliche Bankdienstleistung, die so zugeschnitten ist, dass Überweisungen nur anhand der numerischen Angaben ausgeführt werden. Wird ergänzend ein solches Verfahren angeboten und der Bankkunde beim Abschluss eines entsprechenden Überweisungsvertrags sowohl auf den Verzicht auf den Kontonummer-Namens-Vergleich als auch auf die damit verbundenen Risiken hingewiesen, ist ein solches Verfahren zulässig, wenn es gleichzeitig auch noch mit Vorteilen für den Bankkunden – wie z. B. günstigeren Kosten oder einer schnelleren Ausführung – verbunden ist und der Kunde die Freiheit hat sich auch anders zu entscheiden. Nur dann, wenn beleglose Verfahren mit Verzicht auf den Kontonummer-Namens-Vergleich als ausschließliches Standardüberweisungsver111
Vgl. zur Maßgeblichkeit des Namens des Empfängers BGH v. 13.06.1983 – II ZR 226/82, WM 1983, 834; OLG Frankfurt v. 13.06.1983 – II ZR 226/82, 1983, 743; OLG München v. 10.01.1995 – 25 U U514/94, WM 1995, 2137; BGH v. 03.10.1989 – XI ZR 163/88, WM 1989, 1754; BGH v. 09.07.1991 – XI ZR 72/90, WM 1991, 1452; OLG Frankfurt a.M. WM 1999, 1208 m. Anm. van Gelder in WuB I D 1 – 5.99; OLG Schlewswig WM 2000, 812 m. Anm. van Look in WuB I D 1 – 1.01; OLG Düsseldorf DNotZ 2004, 2937, 2939.
112
A.A. Schimansky in Bankrechts-Handbuch I., § 49, Rn. 83, der weiter die Ansicht vertritt, nur in Individualvereinbarungen sei der Verzicht auf den Kontonummer-Namensvergleich zulässig.
4.1 Online-Banking
51
fahren angeboten würden, wäre darin eine Umgehung der gesetzlichen Anforderungen sowie der Vorgaben der Rechtsprechung zur Verpflichtung zur Durchführung des Kontonummer-Namens-Vergleiches zu sehen, nicht jedoch, wenn es sich um mit Kostenvorteilen verbundene Zusatzleistungen handelt. Beim konventionellen Überweisungsverfahren, d. h., soweit die Empfängerbezeichnung maßgeblich ist, trifft den Überweisenden die Verpflichtung, das ihm vorgegebene – im Online-Banking-Verfahren elektronische – Formular vollständig und richtig auszufüllen.113 Sofern der Überweisende diese Sorgfaltspflichten verletzt, hat er die darauf zurückzuführenden Schäden zu tragen. Dies hat zur Konsequenz, dass zwar die Angabe einer falschen Kontonummer in einem Verfahren, bei dem der Kontonummer-Namens-Vergleich zwingend durchzuführen ist, keinen Aufwendungsersatzanspruch des Kreditinstituts gem. §§ 675, 676a und 670 BGB gegenüber dem Überweisenden begründen kann, denn mit Gutschrift des Überweisungsbetrags auf einem falschen Konto ist der Überweisungsvertrag nicht erfüllt worden, gleichzeitig schließt dies Schadensersatzansprüche der Bank gegen den Kontoinhaber jedoch nicht aus, sofern die Falschangabe darauf zurückzuführen ist, dass er seinen Verpflichtungen gem. Nr. 11 Abs. 2 AGB-Banken und II. Nr. 1 der Überweisungsbedingungen nicht nachgekommen ist, im Rahmen des Überweisungsvertrags eindeutige und mit vollständige Angaben gem. § 676a Abs. 2 S. 3 BGB zu machen. Im Einzelfall kann dies bedeuten, dass selbst dann, wenn ein Kreditinstitut seine Verpflichtung zur Durchführung des Kontonummer-Namensvergleichs verletzt hat, dennoch nicht ausgeschlossen ist, dass in Abhängigkeit vom Grad der jeweiligen Verschuldensbeiträge Schadensersatzansprüche gegen den Überweisenden bestehen können, wenn er schuldhaft fehlerhafte Angaben gemacht hat. Ob und inwieweit solche Ansprüche tatsächlich in Betracht kommen, hängt jedoch von den Umständen des Einzelfalles ab. Immerhin ist die Verletzung der Verpflichtung zur Durchführung des Kontonummer-Namens-Vergleichs eine vertragswesentliche Pflicht des Kreditinstituts.114 Folglich müssen besonders einschneidende Umstände vorliegen, die eine Pflichtverletzung des Bankkunden begründen. Normalerweise ist die Verletzung der Verpflichtung zur Durchführung des Kontonummer-Namens-Vergleichs als so erheblich anzusehen, dass daneben für ein Mitverschulden des Auftraggebers gem. § 254 BGB praktisch kein Raum bleibt.115 Im Online-Banking-Verfahren dürfte es jedoch nur wenige Fälle geben, in denen es aufgrund eines unsorgfältigen Ausfüllens eines Überweisungsformulars zu einem Schaden des Kreditinstituts kommen kann, denn Aufträge werden in der Regel erst dann freigegeben, wenn das elektronisch vorgegebene Formular 113
Vgl. Schimansky in Bankrechts-Handbuch I., § 49 Rn. 123; BGH v. 08.10.1991 – XI ZR 207/90, NJW 1991, 3208, 3210 WM 1991, 1912.
114
Vgl. dazu: BGH v. 08.10.1991 – XI ZR 207/90, NJW 1991, 3208, 3029 = BGH WM 1991, 1912; Schimansky in Bankrechts-Handbuch I., § 49 Rn. 83; Kümpel, Bank- und Kapitalmarkrecht, 2. Auflage 2000, Rn. 4/280 ff.
115
Vgl. Schimansky in Bankrechts-Handbuch I., § 49 Rn. 126 ff. mit weiteren Beispielen.
52
4 Zahlungsverkehr über Online-Medien
vollständig ausgefüllt wurde. Auf dieser Grundlage sind jedoch kaum Fallkonstellationen denkbar, in denen es aufgrund eines unsorgfältigen Ausfüllens zu einem Schaden kommen kann, den das Kreditinstitut selbst nicht durch Verletzung seiner Prüfpflichten wenigstens mitverursacht hat. Die Sorgfaltspflichten im elektronischen Überweisungsverfahren reduzieren sich auf die vollständigen und richtigen Angaben der einzugebenden Daten sowie den Abgleich des Namens des Empfängers mit der dazugehörigen Kontonummer. Es ist jedoch auf dieser Grundlage unwahrscheinlich, dass Zahlungsaufträge erteilt werden können, ohne dass das dafür vorgesehene Formular unvollständig ausgefüllt wird. Geschieht dies jedoch, ist es bei ordnungsgemäßer technischer Prüfung praktisch auszuschließen, dass bei Durchführung des Kontonummer-NamensVergleichs eine fehlerhafte Eingabe nicht festgestellt wird. Nicht erkannt werden können Bedienungsfehler des Erklärenden, durch die die Angaben, die auch beim Kontonummer-Namens-Vergleichs nicht festgestellt werden können – wie z. B. der zu überweisende Betrag – falsch sind. Das Risiko eines solchen Irrtums, bei dem es sich um einen Erklärungsirrtum handelt, ist jedoch vom Überweisenden zu tragen. Eine solche Erklärung kann gem. §§ 119 bis 121 BGB vom Überweisenden angefochten werden.116 4.1.4.4 Rechtsprobleme bei Entgegennahme und Ausführung von Anträgen und Aufträgen Im Online-Banking ist die Abgabe einer Willensübermittlung an die Freigabe der Erklärung zur Übermittlung geknüpft. Selbst wenn eine entsprechende Bestätigung abgegeben wurde, wird der Widerruf nicht ausgeschlossen. Auf diesen finden die allgemeinen Regeln über den Widerruf von Willenserklärungen Anwendung. Durch die Freigabe wird lediglich der Zeitpunkt für die Abgabe einer Erklärung festgelegt. Mit ihr wird eine Willenserklärung abgegeben und kann nach den allgemeinen zivilrechtlichen Regeln wie jede andere Willenserklärung widerrufen werden.117 Der Zugang einer elektronisch über das Online-BankingVerfahren abgegebenen Willenserklärung liegt vor, wenn diese so in Bereich des Empfängers gelangt, dass er unter normalen Verhältnissen in der Lage ist, den Inhalt einer solchen Nachricht zur Kenntnis zu nehmen.118 Von einem Zugang ist deshalb auszugehen, sobald eine elektronisch übermittelte Willenserklärung in den elektronischen Briefkasten einer Datenverarbeitungsanlage oder in die Mailbox des Empfängers, die auch von einem Dritten unterhalten werden kann, zum Abruf
116
Vgl. dazu Langenbucher, Risikozuordnung im bargeldlosen Zahlungsverkehr, 142.
117
Vgl. Krüger/Büttner, WM 2001, 221, 223; Herwig, MMR 2001, 145; Godefroid, DStR 2001, 402f.
118
Vgl. Godefroid, DStR 2001, 400, 402; Mehrings in Hoeren/Sieber, Handbuch in „Multimediarecht” Kapitel 13.1, Rn. 52 ff; ders. MMR 1998, 30, 32; Hoffmann, NJWBeilage 14/2001, 9.
4.1 Online-Banking
53
eingegangen ist.119 Soweit im Online-Banking-Verfahren Willenerklärungen übertragen werden, finden die vorstehend bezeichneten Grundsätze Anwendung. Auf die elektronische Übermittlung von Willenserklärungen sind die Grundsätze zur Abgabe einer Willenserklärung unter Abwesenden anzuwenden, auch wenn teilweise Gegenteiliges vertreten wird.120 Dies kann jedoch nur bei einer interaktiven Kommunikation gelten, bei der der Empfänger einer Online-Willenserklärung unmittelbar auf den Zugang der Erklärung reagieren kann und eine Dialogsituation entsteht. Liegen die Voraussetzungen dafür jedoch nicht vor, genügt die Abgabe einer Willenserklärung nicht, um darin eine Erklärung unter Anwesenden zu begründen, da es an den sich aus § 147 Abs. 1 BGB ergebenden, dem Zusammenfallen der Abgabe der Willenserklärung durch den Erklärenden mit der gleichzeitigen Kenntnisnahme durch den Empfänger, fehlt.121 Findet eine solche unmittelbare Kommunikation nicht statt, gilt eine Erklärung erst dann als zugegangen, wenn mit dem Abruf der Nachricht durch den Empfänger gerechnet werden kann.122 Auch bei den von der Kreditwirtschaft häufig eingesetzten interaktiven Systemen findet kein wirklicher Dialog statt, da die Aktivität der Bank sich in der Regel darauf beschränkt, die Nutzer an die erforderlichen Eingaben heranzuführen. Darin kann jedoch kein individueller Dialog gesehen werden.123 Dies ist ein wesentlicher Unterschied zur telefonischen Kommunikation, denn diese erfolgt unmittelbar, interaktiv und kundenindividuell.124 Kommt es zu einer fehlerhaften Übermittlung einer Erklärung, ist hinsichtlich der sich daraus ergebenden Rechtsfolgen und Korrekturmöglichkeiten zwischen den Ursachen für die fehlerhafte Erklärung zu differenzieren. Sofern eine entsprechende Erklärung auf einem Eingabefehler beruht, kommt eine Anfechtung gem. § 119 Abs. 1 BGB wegen eines Erklärungsirrtums in Betracht.125 Dagegen ist die vollständig und richtig abgegebene Willenserklärung, die aufgrund eines
119
Vgl. Mehrings in Hoeren/Sieber, Handbuch Multimediarecht, Kapitel 13.1 Rn. 76 ff; Hoffmann, NJW-Beilage 14/2001, 9.
120
Gößmann in Bankrechts-Handbuch I., § 55 Rn. 6; Redeker, NJW 1984, 2391; Heun, CR 1994, 595, 597; Gößmann in FS-Schimansky, 145, 158; a.A. Fritzsche-Malzer, DnotZ 1995, 3, 11.
121
Hoffmann, NJW-Beilage 14/2001, 7; Kremer in Münchner Kommentar, § 147 Rn. 2.
122
Taupitz/Kritter, JuS 1999, 841; Gößmann in Bankrechts-Handbuch I., § 55 Rn. 6.
123
Vgl. Gößmann in Bankrechts-Handbuch I., 2. Auflage 2001, § 55 Rn. 6.
124
Vgl. Hoffmann, NJW-Beilag 14/2001, 7.
125
Vgl. Hoffmann, NJW-Beilage 14/2001, 8; Gößmann in Bankrechts-Handbuch I., § 55 Rn. 5; Godefroid, DStR 2001, 400, 403; Mehrings in Hoeren/Sieber, Handbuch Multimediarecht, Kapitel 13.1, Rn. 96f; Krüger/Büttner, WM 2001, 221, 224; Langenbucher, Die Risikozuordnung im bargeldlosen Zahlungsverkehr, 142; Heun, CR 1994, 595, 596; Köhler, AcP 182 (1982), 136; Mehrings, MMR 1998, 31f; Redeker, NJW 1984, 2392.
54
4 Zahlungsverkehr über Online-Medien
Übertragungsfehlers unrichtig ankommt, gem. § 120 BGB wegen falscher Übermittlung anfechtbar.126 Zu einem anderen Problembereich gehört es jedoch, wenn der Zugang einer elektronischen Nachricht deshalb scheitert, weil das Kreditinstitut, das einen solchen Service anbietet, nicht alle Maßnahmen ergriffen hat, damit die entsprechenden Nachrichten auch zugehen können. Das kann unterschiedliche Ursachen haben, wie z. B. die mangelnde Betriebsbereitschaft des Empfangsgeräts oder ein überfüllter elektronischer Briefkasten. Hat ein Kreditinstitut durch die entsprechenden technischen Einrichtungen nicht dafür Sorge getragen, dass elektronische Nachrichten zumindest jederzeit eingehen können und hat es nicht ausdrücklich die Entgegennahme solcher Nachrichten zeitlich beschränkt, ist in der Zugangsvereitlung eine schuldhafte Pflichtverletzung zu sehen, die dazu führt, dass die Bank sich so behandeln lassen muss, als seien die entsprechenden Aufträge zugegangen.127 Allerdings ist Voraussetzung für eine daraus resultierende Haftung, dass das Kreditinstitut wenigstens leicht fahrlässig eine solche Zugangsvereitelung verursacht hat. Da jedoch das Online-Banking-Angebot dazu dienen soll, es dem Bankkunden jederzeit zu ermöglichen, Aufträge zu übermitteln, besteht die Verpflichtung eines diesen Service anbietenden Kreditinstituts, alle zumutbaren Maßnahmen zu ergreifen und Kapazitäten zu schaffen, um eine Zugangsbeeinträchtigung zu vermeiden. Diese sehr weitgehenden Sorgfaltspflichten sind Grundlage dafür, dass ein Kreditinstitut jederzeit zu kontrollieren hat, ob die Erreichbarkeit sichergestellt ist. Sollte eine Störung vorliegen, ist unverzüglich dafür Sorge zu tragen, dass der Zugang wieder hergestellt wird. Außerdem sind angemessene Kapazitäten zu schaffen, die sich an Spitzenbelastungen zu orientieren haben. Es sind folglich nur sehr wenige Fallkonstellationen denkbar, in denen eine über einen längeren Zeitraum andauernde Zugangsstörung ausnahmsweise dem Kreditinstitut nicht zugerechnet werden kann.128 Sorgt eine Bank nicht dafür, dass der Online-Banking-Zugang zu den Geschäftszeiten möglich ist, kann darin eine fahrlässig verursachte Annahmeverweigerung zu sehen sein, da die Bank – wie bereits ausgeführt – bei einem OnlineBanking-Vertrag dafür Sorge tragen muss, dass eine Übermittlung möglich ist.129 Bietet ein Kreditinstitut den Online-Banking-Service an, muss sie aus ihrem betrieblichen Bereich sowie durch die Auswahl der Provider für einen möglichst reibungslosen Zugang Sorge tragen.
126
Vgl. Gößmann in Bankrechts-Handbuch I., § 55 Rn. 9; Köhler, ACP 182, 126, 140; Hoffmann NJW Beilage 14/2001, 9.
127
Vgl. BAG v. 03.04.1986 – 2 AZR 259/85,DB 1986, 2336; OLG Karlsruhe v. 04.12.1997 – 12 U 102/97, WM 1998, 1178; Gößmann in Bankrechts-Handbuch I., § 55, Rn. 10.
128
Zu den Sorgfaltsanforderungen vgl. Gößmann in Bankrechts-Handbuch I., § 55 Rn. 10.
129
Vgl. BGH v. 26.11.1997 – VIII ZR 22/97, BB 1998, 289 zur Annahmeverweigerung.
4.1 Online-Banking
55
Dazu reicht es nicht, alles technisch Erforderliche zu veranlassen, sondern auch Zugangskanäle zu wählen, deren Funktionsbereitschaft einen hohen Grad an Erreichbarkeit ermöglichen. Sollte der Zugangskanal ausnahmsweise nicht zur Verfügung stehen, hat die Bank durch eine entsprechende Fehlermeldung dafür Sorge zu tragen, dass der Absender einer Nachricht auf die Zugangsstörung hingewiesen wird und dadurch die Möglichkeit hat, seine Nachricht ggf. außerhalb des OnlineBanking-Verfahrens zu übermitteln. Gleichwohl stellt die Abgabe von Fehlermeldungen bei einer Zugangsstörung nicht die endgültige Lösung dar, da im OnlineBanking-Verfahren die Bank auch dafür Sorge zu tragen hat, dass derartige Fehler schnellstmöglich beseitigt werden oder besser gar nicht erst entstehen können, da eine Zugangsstörung eine elementare Vertragsbeeinträchtigung darstellt, die es in vielen Fällen rechtfertigt, darin eine schuldhaft verursachte Vertragsverletzung zu sehen, die dazu führt, dass die Bank das Zugangsrisiko zu tragen hat.130 Davon zu unterscheiden ist jedoch die Verpflichtung des Kunden, dann, wenn er Kenntnis von einer Zugangsstörung des Online-Banking-Services hat, alles zu unternehmen, um einen drohenden Schaden abzuwenden oder zumindest zu minimieren. Eine solche Verpflichtung ergibt sich aus § 254 Abs. 2 Satz 1. Weiß ein Bankkunde, dass er den Auftrag aufgrund einer Zugangsstörung nicht erteilen kann, muss er versuchen, ihn auf anderem Wege der Bank zu übermitteln, sofern es alternative Übermittlungswege gibt. Darüber hinaus ist zu beachten, dass die Online-Banking-Bedingungen in der Regel einen Hinweis enthalten, dass die erteilten Aufträge im Rahmen des „normalen Arbeitsablaufs“ ausgeführt werden. Daraus folgt, dass mit dem OnlineBanking-Kunden, der über ein Online-Banking-Medium einen Auftrag erteilt, vereinbart wird, dass keine „Real-Time-Bearbeitung“ erfolgt. Der Online-BankingService ermöglicht es zwar dem diesen Service nutzenden Kunden, seine Aufträge jederzeit an das Kreditinstitut weiterzuleiten, daraus folgt jedoch nicht, dass diese auch sofort bearbeitet werden. Der Online-Zugangskanal vereinfacht lediglich den Zugangsweg, begründet jedoch keine Verpflichtung, den Auftrag schneller zu bearbeiten als ein konventionell erteilter, es sei denn, die Bank bietet den Service entsprechend an. Daraus folgt, dass normalerweise dem Online-Banking-Kunden genügend Zeit verbleibt, den Auftrag auf anderem Wege so zu erteilen, dass aus der Störung des Zugangskanals kein Schaden entstehen kann. Die bereits weiter oben angesprochene Klausel, wonach auch im OnlineBanking erteilte Aufträge im Rahmen des „ordnungsgemäßen Arbeitsablaufs“ bearbeitet werden, findet sich in Nr. 5 der Muster-Online-Banking-Bedingungen des Bundesverbandes deutscher Banken. Der Begriff des „ordnungsgemäßen Arbeitsablaufs“ ist auslegungsbedürftig und orientiert sich an der beim jeweiligen Kreditinstitut üblichen Bearbeitung. Ist das Online-Banking-Verfahren als „elektronischer Briefkasten“ ausgestaltet, folgt aus der Regelung, dass die Bank nur verpflichtet ist, diesen innerhalb der normalen Geschäftszeiten in regelmäßigen Abständen zu leeren und abzuarbeiten. Der Online-Banking-Zugang stellt dann 130
Vgl. BGH v. 27.10.1982 – V ZR 24/85, WM 1982, 1408; WuB I. C1.-2.98 Gößmann.
56
4 Zahlungsverkehr über Online-Medien
lediglich eine Vereinfachung bei der Übermittlung von Aufträgen gegenüber den konventionellen Übermittlungswegen dar. Im Übrigen richtet sich der Zeitpunkt, zu dem ein Auftrag ausgeführt werden muss, nach den gesetzlichen Regelungen oder den von der Rechtsprechung entwickelten Anforderungen an den jeweiligen Geschäftvorgang. Bei Überweisungsverträgen sind folglich die Regelungen des § 676a Abs. 2 BGB maßgeblich. Danach sind bei grenzüberschreitenden Überweisungen in Mitgliedsstaaten der Europäischen Union und in die Vertragsstaaten des Europäischen Wirtschaftsraums, die auf deren Währung oder Währungseinheit oder auf Euro lauten, Überweisungsbeträge innerhalb von 5 Bankgeschäftstagen auf das Konto des Kreditinstituts des Empfängers zu überweisen. Für inländische Überweisungen in Inlandswährung ist eine Frist von maximal 3 Bankgeschäftstagen vorgesehen, Überweisungen in Inlandswährung innerhalb einer Haupt- oder einer Zweigstelle eines Kreditinstituts sind längstens innerhalb eines Bankgeschäftstages, andere institutsinterne Überweisungen innerhalb von 2 Bankgeschäftstagen auf das Konto des Begünstigten zu bewirken.131 Die Fristen gelten auch im Online-Banking-Überweisungsverkehr, sofern dort nichts Abweichendes vereinbart wird. Aber auch bei Online-Überweisungen beginnt die Überweisungsfrist gem. § 676a Abs. 2 S. 3 BGB erst mit Ablauf des Tages, an dem der Name des Begünstigten, seine Kontonummer, sein Kreditinstitut und die im Übrigen für die Ausführung des Auftrags erforderlichen Angaben vorliegen. Auch wenn es sich um einen „Überweisungsvertrag“ handelt, der auch auf elektronischem Wege abgeschlossen werden kann,132 bedarf es einer ausdrücklichen Annahme in der Regel nicht133, da sich aus dem Girovertrag eine Verpflichtung des Kreditinstituts zum Abschluss des Überweisungsvertrags ergibt. Sofern ein Kreditinstitut den Überweisungsvertrag nicht abschließen möchte, muss es dies dem Überweisenden – ggf. auch elektronisch – unverzüglich anzeigen. Die vorstehend bezeichneten Grundsätze gelten auch bei in Online-BankingVerfahren übermittelten Anträgen auf Abschluss eines Überweisungsvertrags. Daraus folgt, dass es in der Regel keine „Real-Time-Bearbeitung“ gibt. Wäre es möglich, innerhalb von Sekunden einen Überweisungsvertrag elektronisch abzuschließen und die Zahlung auszuführen sowie die entsprechende Buchung dem Empfänger anzuzeigen, könnte darin eine denkbare Alternative zur Kartenzahlung im Internet gesehen werden, da auf diese Weise der Zahlungspflichtige die Möglichkeit hätte, im Falle einer Bestellung eine Zahlung so schnell auszuführen, dass der Zahlungsempfänger unmittelbar nach einer solchen die Ausführung des Auftrags kontrollieren und nach Zahlungseingang das gewünschte Produkt entweder über das Internet oder auf konventionellem Wege zur Verfügung stellen könnte. Ein solches Verfahren würde jedoch auch voraussetzen, dass die Buchung unmittelbar nach ihrer Ausführung auch auf dem Empfängerkonto erkennbar wäre. 131
132 133
Zum Überweisungsverkehr vgl. Nobbe, WM-Sonderbeilage Nr. 4/2001; Grundmann, WM 2000, 2269; Gößmann/van Look, WM-Sonderbeilage Nr. 1/2000; Kümpel, WM 2000, 797. Vgl. Wiesgickl, WM 2000, 1037, (1044). Vgl. Klamt/Koch, DB 1999, 943.
4.2 Homebanking
57
4.2 Homebanking 4.2.1
Grundlagen des Homebanking
4.2.1.1 Verfahren Das Homebanking-Verfahren ist für offene Netze konstruiert worden.134 Beim Homebanking-Verfahren, das „HBCI“ abgekürzt wird, wobei HBCI für „Homebanking Computer Interface“ steht, handelt es sich um einen von der deutschen Kreditwirtschaft entwickelten technischen Standard im Datenaustausch.135 Dieser legt fest, welche Bestandteile und welchen Aufbau Daten haben müssen, damit diese sowohl von den Computern der Banken als auch der Kunden gelesen werden können. Es werden also die Voraussetzungen festgelegt, unter denen verschiedene Computerprogramme miteinander kommunizieren können.136 Durch die Schaffung eines solchen Standards ist es möglich, Bankgeschäfte „multibankfähig“ abzuwickeln. Im HBCI-Verfahren kommen elektronische Signaturen nach international etablierten Standards auf der Basis von Chipkarten oder Disketten zum Einsatz, im Gegensatz zum Online-Banking-Verfahren, das auf PIN und TAN beruht.137 Das HBCI-Verfahren stellt folglich eine elektronische Plattform für die Durchführung unterschiedlicher Geschäfte dar. Ähnlich wie im Online-Banking ist es möglich, darüber den in- und ausländischen Zahlungsverkehr abzuwickeln, aber auch Wertpapieraufträge zu erteilen, Gelder anzulegen oder Konto- bzw. Depotinformationen abzufragen.138 Das Homebanking-Verfahren ist – wie das OnlineBanking-Verfahren – offen für die Einbeziehung neuer Bankprodukte oder Bankdienstleistungen. Es stellt einen Zugangsweg zur Bank dar, über den vom jeweiligen Kreditinstitut eingestellte Produkte in Anspruch genommen werden können. Außerdem ist es auch im HBCI-Verfahren möglich, Höchstbetragsgrenzen, die Einräumung oder die Beschränkung von Vertretungsbefugnissen oder Zugriffsberechtigungen einzugeben.139 4.2.1.2 Rechtsgrundlagen des Homebanking Rechtsgrundlage des Homebanking-Verfahrens ist ein Abkommen, das die Spitzenverbände der deutschen Kreditwirtschaft abgeschlossen haben und das zum 134
135
136 137
138
139
Vgl. Kümpel Bank- und Kapitalmarktrecht, Rn. 4.760; Gößmann in BankrechtsHandbuch I., § 55 Rn. 27; Stockhausen, WM 2001, 601 (605). Vgl. Gößmann in Bankrechts-Handbuch I., § 55 Rn. 27; Stockhausen, WM 2001, (601) 605. Vgl. Stockhausen, WM 2001, 601 (605). Vgl. Stockhausen, WM 2001, 601 (606); Borges in Derleder/Knops/Bamberger, Handbuch zum deutschen und europäischen Bankrecht, § 8, Rn. 1. Vgl. Gößmann in Bankrechts-Handbuch I., § 55 Rn. 28; Stockhausen, WM 2001, 601 (606). Vgl. Gößmann in Bankrechts-Handbuch I., § 55 Rn. 28; Stockhausen, WM 2001, 601 (606).
58
4 Zahlungsverkehr über Online-Medien
01.10.1997 in Kraft getreten ist, das „Homebanking-Abkommen“. In diesem werden technische Standards für ein multibankfähiges Dialogverfahren festgelegt, um dadurch den am Verfahren angeschlossenen Instituten die Abwicklung von Bankgeschäften zu ermöglichen. Durch das Abkommen werden die diesem angeschlossenen Kreditinstitute verpflichtet, das Homebanking-Verfahren anzubieten. Jedes Institut, das dem Homebanking-Abkommen angehört, muss die Erreichung dieses gemeinsamen Zwecks fördern.140 Das Homebanking-Abkommen sieht vor, dass die Kreditinstitute ein entsprechendes Verfahren bis Ende 2000 anbieten sollten.141 Allerdings ist dieses Ziel nicht erreicht worden. Das HBCI-Verfahren ist als das Verfahren mit dem derzeit höchsten Internet-Banking-Sicherheitsstandard anzusehen.142 Wesentliche Bestandteile des Homebanking-Abkommens sind die „Richtlinien für die Bereitstellung des Homebanking-Computer-Interface (HBCI) der deutschen Kreditwirtschaft“ sowie die dazugehörigen „Schnittstellenspezifikationen Homebanking Computer Interface (HBCI)“, die von den, dem Abkommen angeschlossenen Kreditinstituten anerkannt werden müssen und durch die es möglich wird, Bankgeschäfte mittels des HBCI-Dialogs abzuwickeln.143 Durch das Homebanking-Abkommen werden die Kreditinstitute verpflichtet, ihren Bankkunden eine Kommunikationsmöglichkeit zur Durchführung des HBCI-Dialogs zur Verfügung zu stellen. Das schließt jedoch nicht aus, dass Kreditinstitute daneben auch andere Kommunikationsstandards einsetzen, sofern sie auch den HBCI-Standard anbieten. Die im Abkommen festgelegte Schnittstellenspezifikation stellt einen offenen Standard dar, der Softwareentwicklern zur Verfügung gestellt werden soll, denn Sinn und Zweck des Abkommens ist es, auch zukünftig einen multibankfähigen Standard auf höchstem Sicherheitsniveau zur Verfügung zu stellen.144 Der Umstand, dass es sich bei der Schnittstellspezifikation um einen offenen Standard handelt, der Softwareentwicklern zur Verfügung gestellt werden kann, zeigt, dass durch das Homebanking-Abkommen nicht ein einmal erreichter technischer Standard festgeschrieben werden soll, sondern dass es als durchaus notwendig erachtet wird, den bisherigen Standard weiterzuentwickeln. Aufgrund dessen werden die Kreditinstitute, die dem Homebanking-Abkommen angeschlossen sind, verpflichtet, den Zentralen Kreditausschuss (ZKA) über den jeweils für sie zuständigen Spitzenverband in der Planungsphase solcher Entwicklungen darüber zu informieren, um allen anderen Kreditinstituten eine Beteiligung daran zu ermöglich. Allerdings gilt diese Verpflichtung nur für den Fall, dass ein Kreditinstitut den Homebanking-Standard weiterentwickeln möchte, um den bisherigen 140
Vgl. Werner in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 19/92.
141
Vgl. Stockhausen, WM 2001, 601,606.
142
Vgl. Stockhausen, WM 2001, 601, 606, insbesondere Fußnote 29.
143
Vgl. Stockhausen, WM 2001, 601, 611.
144
Vgl. Stockhausen, WM 2001, 601, 611.
4.2 Homebanking
59
zukünftig nicht mehr einzusetzen. Die Kreditinstitute sind frei, daneben eigene, zusätzliche Dialogverfahren zu entwickeln. Sollen diese den HBCI-Standard nicht ersetzen, besteht dagegen keine Verpflichtung, die anderen Kreditinstitute unter Einschaltung des Zentralen Kreditausschusses über die Entwicklungen zu unterrichten, denn ein Kreditinstitut ist selbstverständlich nicht verpflichtet, sich seines Wettbewerbsvorteils aufgrund einer fortgeschrittenen Technologie zu begeben. Nur wenn es um die Ersetzung des bisherigen Sicherheitsstandards geht, gehen die Interessen der gesamten deutschen Kreditwirtschaft, ein einheitliches und die ganze Kreditwirtschaft erfassendes Dialogverfahren zur Verfügung zu stellen, den Wettbewerbsinteressen der einzelnen Institute vor. Die Schnittstellenspezifikation kann um solche Geschäftsvorfälle erweitert werden, die von den den Verfahren angeschlossenen Kreditinstituten auf einheitlicher technischer Basis angeboten werden. Soll das Homebanking-Abkommen abgeändert werden, muss dies in einem Arbeitskreis der Vertragspartner des Abkommens verabschiedet werden. Entscheidet sich ein Kreditinstitut, einen Homebanking-Standard nicht mehr anzubieten, scheidet es mit sofortiger Wirkung aus dem Abkommen aus. Darüber hinaus steht es auch jedem Institut frei, seine Teilnahme am Abkommen zu kündigen. Die „Richtlinien für die Bereitstellung des Homebanking-Computer Interface (HBCI) der deutschen Kreditwirtschaft“ sind Bestandteil des HomebankingAbkommens. Sie enthalten technische Beschreibungen, welche Bestandteile der Schnittstellenspezifikation in jedem Fall zu unterstützen sind und welche optional angeboten werden können. Die Richtlinien konkretisieren jedoch nur die sich bereits aus dem Abkommen ergebenden Pflichten.145 Die Anlage 2 enthält eine rund 800 Seiten umfassende Spezifikation der Homebanking-Computer-InterfaceSchnittstelle.146 Das gesamte Abkommen inklusive der dazugehörigen Anlagen begründet jedoch Rechte und Pflichten nur zwischen den Kreditinstituten, die diesem Verfahren angeschlossen sind. Sie haben keine unmittelbaren Außenwirkungen auf den Bankkunden. Bietet ein Kreditinstitut das Homebanking-Verfahren seinen Kunden an, muss es mit diesen eine gesonderte Teilnahmevereinbarung abschließen. Grundlage dieser Vereinbarung bilden die Homebanking-Bedingungen, die hinsichtlich ihres Aufbaues und ihres Inhaltes große Ähnlichkeiten mit den Online-Banking-Bedingungen aufweisen, mit diesen jedoch nicht identisch sind. Die Unterschiede sind in erster Linie darauf zurückzuführen, dass an die Stelle von PIN und TAN als Zugangs- und Legitimationsmedien elektronische Signaturen, die auf einer Chipkarte oder Diskette hinterlegt sind, treten. Da es sich um ein einheitliches Verfahren handelt, haben die im zentralen Kreditausschuss organisierten Spitzenverbände der deutschen Kreditwirtschaft – ähnlich wie im Online-Banking – Musterbedingungen für das Homebanking entwickelt.147 Wie 145
Vgl. Stockhausen, WM 2001, 601, 611.
146
Vgl. Stockhausen, WM 2001, 601, 611.
147
Homebanking-Bedingungen, abgedruckt in Werner in Hellner/Steuer BuB Rn. 6/119.
60
4 Zahlungsverkehr über Online-Medien
die Online-Banking-Bedingungen beziehen sich auch die HomebankingBedingungen nicht auf einzelne Geschäftsvorfälle, sondern regeln Rechte und Pflichten der Kommunikation zwischen Kunde und Bank über das Homebanking. Deshalb enthalten diese Festlegungen von Rechten und Pflichten sowie Beschreibungen über den Zugangsweg, zur Nutzungsberechtigung, zur finanziellen Nutzungsgrenze aber auch über die Zugangssperre sowie zur Behandlung der vom Homebanking-Teilnehmer übermittelten Daten an die Bank.148 Bezüglich der einzelnen Bankgeschäfte, die über das Homebanking-Verfahren abgewickelt werden können, gelten ergänzend jeweils Sonderbedingungen, so dass z. B. auf über das Homebanking abgeschlossene Überweisungsverträge die Überweisungsbedingungen, auf den Kauf oder Verkauf von Wertpapieren die entsprechenden Wertpapierbedingungen Anwendung finden.
4.2.2
Sicherungsverfahren und Sicherungspflichten im Homebanking
Die HBCI-Bedingungen, auf die die vorstehenden Ausführungen zu den OnlineBanking-Bedingungen übertragbar sind, haben Bedeutung für die Erfüllung der Aufklärungs- und Beratungspflichten der Bank im Zusammenhang mit der Nutzung und den Risiken des HBCI-Verfahrens. Damit der einzelne HBCITeilnehmer darüber informiert wird, wie er den über das HBCI-Verfahren angebotenen Service unter Vermeidung von Risiken nutzen kann, erhält er von seinem Kreditinstitut eine „HBCI-Verfahrens-Anleitung“, die Bestandteil der Kundenbedingungen ist. In dieser werden die technischen Voraussetzungen erläutert, die ein HBCI-Teilnehmer einhalten muss, damit er am Homebanking-Verfahren teilnehmen kann. In erster Linie bezieht sich dies auf die Beschreibung der Endgeräte, die der Homebanking-Nutzer verwenden muss, um den Service einsetzen zu können. Außerdem werden die Sicherheitsverfahren, die im Zuge des Homebanking eingesetzt werden, sowie die Identifikation und Legitimation erklärt. Schließlich werden dem Homebanking-Teilnehmer die Anforderungen für die Nachrichtenübermittlung dargelegt und beschrieben, welche Pflichten und Obliegenheiten er einzuhalten hat. Bei einem der eingesetzten Sicherungsverfahren handelt es sich um das „RSA-Verfahren“, wobei „RSA” für die Erfinder dieses Verschlüsselungsverfahrens, Rivest, Schamir und Adelman, steht. Das zweite Verfahren ist das „MAC-Verfahren“, wobei „MAC“ für „Message Authentication Code“ steht. Beim asymmetrischen RSA-Verfahren kommt ein Schlüsselpaar zum Einsatz, das aus einem privaten und einem öffentlichen Schlüssel besteht. Den öffentlichen Schlüssel übermittelt der Homebanking-Teilnehmer seiner Bank. Diese wird mit Hilfe des öffentlichen Schlüssels in die Lage versetzt zu überprüfen, ob die elektronische Signatur des Kunden, mit der ein Auftrag unterzeichnet wurde, in Ord-
148
Vgl. Stockhausen, WM 2001, 601, 611.
4.2 Homebanking
61
nung ist. Mit Hilfe einer solchen Signatur kann der Nachweis geführt werden, dass die unterschriebenen Dateien während der Übertragung nicht verändert wurden und einem bestimmten Kunden zugeordnet werden können.149 Beim MAC-Verfahren wird an die Nachricht ein Datenstück mit einer geheimen Information angehängt, die nur Sender und Empfänger der Nachricht kennen. Daraus wird ein „Digest“ errechnet, bei dem es sich um eine Art Prüfsumme handelt. Wird eine Nachricht verändert, ändert sich auch der Digest. Nur wenn die geheime Information, die an die Nachricht anzuhängen ist, bekannt wird, ist es möglich, den Digest neu zu berechnen und dadurch die Ursprungsnachricht zu verfälschen, ohne dass der Empfänger dies merkt. In diesem symmetrischen Verschlüsselungsverfahren sollten die Schlüssel, die zum signieren und chiffrieren herangezogen werden, sowohl dem Sender als auch dem Empfänger bekannt sein. Damit dies möglich ist, ist ein Austausch dieses Schlüssels über andere Kommunikationswege erforderlich. Die unter Einsatz eines MAC-Verfahrens durchzuführende Kommunikation setzt voraus, dass nur die an dieser beteiligten Partner die entsprechenden Schlüssel kennen.150 Mit Hilfe der HBCI-Spezifikationen ist das asymmetrische RSA-Verschlüsselungsverfahren, das auf einer Chipkarte basiert, eingeführt worden, da dies einen nochmals höheren Sicherheitsstandard als das MAC-Verfahren bietet. Allerdings ist es unvermeidlich, in einer Übergangsphase beide Verfahren einzusetzen, um die erteilten Aufträge abzusichern. Die HBCI-Spezifikationen sehen vor, das auf den RSA-Verfahren beruhende asymmetrische RDH-Verfahren und das auf einem „MAC“ aufbauenden DDV-Verfahren optional anzubieten sind.151 Der Einsatz beider Verschlüsselungsverfahren wird im Zusammenhang mit den HomebankingBedingungen dem Homebanking-Teilnehmer erläutert. Auch die Homebanking-Bedingungen enthalten – wie die Online-BankingBedingungen – eine Regelung, wonach das den Homebanking-Service anbietende Kreditinstitut seine Kunden darüber zu unterrichten hat, welche Dienstleistungen er über diesen Service nutzen kann. Das Kreditinstitut hat deshalb die Möglichkeit festzulegen, welche Produkte und Dienstleistungen über das Homebanking-Verfahren angeboten werden und welcher Kunde bzw. welche Kundenkreise diesen in Anspruch nehmen können. Außerdem kann die Bank auch hier eine spezifische Begrenzung festlegen. Unterlässt sie dies, gelten die Verfügungsbeschränkungen, die sie mit ihrem Kunden außerhalb der HomebankingBedingungen festgelegt hat. Zu den Hauptpflichten des Homebanking-Teilnehmers gehört es, die Legitimationsmedien geheim zu halten und dafür Sorge zu tragen, dass kein Unberechtigter
149
Vgl. Stockhausen, WM 2001, 601, 606; Kümpel, Bank- und Kapitalmarktrecht, Rn. 4.761.
150
Vgl. Stockhausen, WM 2001, 601, 607.
151
Vgl. HBCI-Spezifikation 2.2, Kapitel VI., Sicherheit, Seite 3, dazu Stockhausen, WM 2001, 601 (607).
62
4 Zahlungsverkehr über Online-Medien
das Übertragungs- oder Sicherungsverfahren nutzen kann. Zwar fehlt in den Homebanking-Musterbedingungen eine ausdrückliche Haftungsregelung, jedoch folgt daraus nicht, dass den Homebanking-Teilnehmer keine Haftung trifft, sondern lediglich, dass die gesetzlichen Regelungen Anwendung finden. Kommt es zu einer durch den Homebanking-Teilnehmer verursachten Sorgfaltspflichtverletzung, hat er für die dadurch verursachten Schäden einzustehen.152 Die Homebanking-Bedingungen enthalten auch keine Regelung zur Beweislast. Folglich gelten die allgemeinen Grundsätze, wonach derjenige, der einen Anspruch erhebt, die dafür erforderlichen Tatsachen vortragen und unter Umständen beweisen muss. Da das Homebanking-Verfahren einen hohen Sicherheitsstandard aufweist153, finden die Grundsätze zum Anscheinsbeweis Anwendung. Der Einsatz der dem Homebanking-Teilnehmer zugewiesenen Legitimationsmedien begründet deshalb den Beweis des ersten Anscheins dafür, dass der HomebankingTeilnehmer, sofern es zu einem Geschäftsvorfall gekommen sein sollte, entweder selbst verfügt hat oder mit diesen nicht sorgfältig umgegangen ist.154 Hinsichtlich des Einsatzes digitaler Signaturen wird jedoch zum Teil die Anwendung der Grundsätze zum Anscheinsbeweis verneint mit der Begründung, dass es bisher an Erfahrungssätzen fehle, die den Schluss auf einen typischen Geschehensablauf erlauben würden, so dass ein wesentliches Element für die Begründung des Anscheinsbeweises noch nicht vorhanden sei.155 Für die Kreditwirtschaft ist dies jedoch nicht zutreffend. Insbesondere im Firmenkundengeschäft, wenn es um die Auftragsübermittlung mittels Datenfernübertragung geht, gibt es regelmäßig die Autorisierung von Nachrichten mittels elektronischer Signatur. Auch wenn diese nicht den gleichen Standard wie im HBCI-Verfahren hat, kann aus dem auch diesbezüglich erreichten Sicherheitsniveau und dem Legitimationsverfahren die Schlussfolgerung gezogen werden, dass die Grundsätze zum Anscheinsbeweis darauf und damit auch auf das HBCI-Verfahren übertragbar sind. Deshalb ist es weniger entscheidend, welche Erfahrungen es mit den digitalen Signaturen nach HBCI-Standard gibt, sondern vielmehr, welche in anderen Verfahren vorliegen, deren Sicherheitsstandard ebenfalls mit vertretbarem technischen oder wirtschaftlichen Aufwand als – wie im HBCI-Verfahren – nicht überwindbar anzusehen ist.156
152
Vgl. Stockhausen, WM 2001, 601 (611).
153
Vgl. Stockhausen, WM 2001, (601) 606.
154
Vgl. Borges, NJW 2005, 3313, 3314 f, 3316 f.
155
Vgl. Kindl, Elektronischer Rechtsverkehr und digitale Signatur, MittBayNotZ 1999, 29 (38).
156
Vgl. Stockhausen, WM 2001, 601, 618.
4.2 Homebanking
4.2.3
63
Haftungsrisiken
Gegen die Anwendung der Grundsätze zum Anscheinsbeweis spricht auch nicht, dass der elektronische Schlüssel tatsächlich auch von einer anderen Person als dem Homebanking-Teilnehmer verwendet werden kann, denn der Bankkunde ist verpflichtet, dafür Sorge zu tragen, dass kein Dritter über diesen verfügen kann.157 Die tatsächliche Verwendbarkeit durch einen Dritten würde nur dann der Sicherheit des Verfahrens entgegenstehen, wenn es entweder nicht möglich oder zumindest nicht zumutbar wäre, den elektronischen Schlüssel so zu sichern, dass kein unberechtigter Dritter darauf Zugriff nehmen kann. Dies ist jedoch dann nicht der Fall, wenn für den Schutz der elektronischen Signatur nach HBCI-Standard keine anderen Anforderungen gelten, als an die Sicherung der qualifizierten elektronischen Signatur nach dem Signaturgesetz. Bezüglich des missbräuchlichen Einsatzes der qualifizierten elektronischen Signatur gilt jedoch § 371a ZPO, der den Anscheinsbeweis bei Verwendung einer qualifizierten elektronischen Signatur begründet. Aus der Anerkennung des Anscheinsbeweises in § 371a ZPO für die qualifizierte elektronische Signatur nach dem Signaturgesetz kann die Schlussfolgerung gezogen werden, dass die Sorgfaltsanforderungen, die an ihre Sicherung gestellt werden, auch für die elektronische Signatur im HBCI-Verfahren sowohl als erforderlich aber auch ausreichend anzusehen sind. Folglich ist es nicht als unzumutbar anzusehen, wenn der HBCI-Teilnehmer verpflichtet wird, die elektronische Signatur in diesem Verfahren vor dem unberechtigten Zugriff Dritter zu sichern. Auf das HBCI-Verfahren sind folglich die Grundsätze über den Beweis des ersten Anscheins anwendbar, wenn das entsprechende Sicherheitsverfahren mit einem vertretbaren technischen oder wirtschaftlichen Aufwand nicht überwunden werden kann und es dem HBCI-Teilnehmer zumutbar ist, die ihm zur Verfügung gestellten Legitimationsmedien vor dem unberechtigten Zugriff Dritter zu sichern. Bei allem muss jedoch berücksichtigt werden, dass es ständig zu einer technischen Weiterentwicklung kommt, weshalb ein einmal erreichtes Sicherheitsniveau nicht auch für die Zukunft Bestand hat. Vielmehr müssen Sicherheitsverfahren, wie auch das des HBCI-Verfahrens, weiterentwickelt und modernisiert werden. Gerade anhand der Diskussionen im Zusammenhang mit der Sicherheit des PINVerfahrens im ec-System wird deutlich, welchen Risiken jedes Sicherungsverfahren ausgesetzt ist. Immer wieder gibt es Sachverständige, die darlegen, es sei mit vertretbarem technischen oder wirtschaftlichen Aufwand möglich, in das Verfahren eingebaute Sicherungen zu überwinden. Wird diese Überwindbarkeit jedoch festgestellt, ist die Grundlage des Anscheinsbeweises erschüttert.158 Ob sich daran durch das Signaturgesetz etwas geändert hat, dürfte zweifelhaft sein, wenn die elektronische Signatur nach HBCI-Standard nicht nach dem Signa-
157
Vgl. Stockhausen, WM 2001, 601, 618.
158
Vgl. Stockhausen, WM 2001, 601, 618.
64
4 Zahlungsverkehr über Online-Medien
turgesetz zertifiziert wird.159 Es kann aus der fehlenden Zertifizierung jedoch nicht geschlossen werden, dass die elektronische Signatur nach HBCI-Standard nicht den Sicherheitsanforderungen an eine qualifizierte elektronische Signatur nach dem Signaturgesetz genügt,160 jedoch hat der Einsatz der elektronischen Signatur nach HBCI-Standard nicht die gleiche Beweiskraft wie eine handschriftlich unterzeichnete Urkunde. Aber selbst wenn die elektronische Signatur im HBCIVerfahren einer qualifizierten elektronischen Signatur nach dem Signaturgesetz gleichgestellt werden könnte, könnte darauf nur der nunmehr ansatzweise in § 371a ZPO normierte Anscheinsbeweis für die qualifizierte elektronische Signatur analog Anwendung finden.161 Allerdings hat die Anwendung des § 371a ZPO den Vorteil, das die qualifizierten elektronischen Signaturen nach dem Signaturgesetz den Anscheinsbeweis begründen und es nicht eines gesonderten Nachweises durch ein Sachverständigengutachten bedarf, dass die eingesetzte elektronische Signatur ein so hohes Sicherheitsniveau hat, dass mit ihrer Überwindung nicht gerechnet werden kann. Gem. § 371a ZPO begründet folglich die qualifizierte elektronische Signatur nach dem Signaturgesetz die gesetzliche Vermutung der Unüberwindlichkeit. Auf die elektronische Signatur nach HBCI-Standard ist § 371a ZPO nur analog und auch erst dann anwendbar, wenn der Nachweis gelungen ist, dass der diesbzgl. HBCIStandard mit dem der elektronischen Signatur vergleichbar ist. Im Übrigen jedoch finden die Grundsätze zum Anscheinsbeweis Anwendung, sofern ihr Sicherheitsniveau dies rechtfertigt. Auch folgt aus der Anwendung des § 371a ZPO lediglich eine Beweiserleichterung, nicht jedoch die Begründung des Vollbeweises.
4.3 Das Lastschriftverfahren im Internet 4.3.1
Rechtsgrundlagen und Einziehungsermächtigungsverfahren
Rechtsgrundlage des Lastschriftverfahrens ist das „Abkommen über den Lastschriftverkehr“, bei dem es sich um ein Interbankenabkommen handelt. Es legt Rechte und Pflichten der am Lastschriftverfahren beteiligten Kreditinstitute fest, ohne dass sich daraus eine unmittelbare Außenwirkung ergäbe.162 Das Lastschriftabkommen regelt zwei nicht nur technisch unterschiedliche Verfahren: das Einziehungsermächtigungs- und das Abbuchungsauftragsverfahren. Bei dem gebräuchlicheren Einziehungsermächtigungsverfahren erteilt der Zahlungspflichtige seinem Gläubiger eine Ermächtigung, den von ihm zu zahlenden 159
Vgl. Stockhausen, WM 2001, 601, 614.
160
Vgl. Gößmann in Bankrechts-Handbuch I., § 55 Rn. 37f, vertritt die Ansicht, dass angesichts des erreichten Sicherheitsniveaus im HBCI-Verfahren dieses von der gesetzlichen Sicherheitsvermutung nach dem Signaturgesetz profitieren müsse.
161
Vgl. Stockhausen, WM 2001, 601 (615).
162
Vgl. Baumbach/Hopt HGB, (7) Bankgeschäfte D/3.
4.3 Das Lastschriftverfahren im Internet
65
Betrag von seinem Konto einzuziehen. Der Zahlungsvorgang selbst wird damit vom Gläubiger angestoßen, der einen Lastschriftträger bei seinem Institut mit dem Vermerk „Einzugsermächtigung des Zahlungspflichtigen liegt dem Zahlungsempfänger vor” einreicht. Dessen Kreditinstitut, die (erste) Inkassostelle, ist jedoch, sofern sie keinen Anhaltspunkt für einen Missbrauch hat, nicht verpflichtet zu überprüfen, ob die Ermächtigung auch tatsächlich vorliegt. Die Inkassostelle zieht, ggf. unter Einschaltung weiterer Inkassostellen oder unmittelbar von der Zahlstelle – dem Kreditinstitut des Zahlungspflichtigen –, den Lastschriftbetrag ein. Die Zahlstelle, bei der es sich um das kontoführende Institut des Schuldners handelt, belastet dessen Konto nicht aufgrund einer von ihm erteilten Weisung, sondern aufgrund des Auftrags eines Dritten.163 Aufgrund dessen wird von der höchstrichterlichen Rechtsprechung angenommen, dass die Belastungsbuchung auf dem Konto des Zahlungspflichtigen zunächst unberechtigt ist.164 Solange eine entsprechende Genehmigung nicht erteilt wird, ist folglich der Schuldner berechtigt, der Kontobelastung jederzeit zu widersprechen und ihre Stornierung zu verlangen. Dieses Recht steht ihm selbst dann zu, wenn er dem Gläubiger eine wirksame Einziehungsermächtigung erteilt hat, da eine solche Berechtigung nicht als Weisung an sein Kreditinstitut anzusehen ist, sein Konto zu belasten. Aufgrund dessen muss die Zahlstelle einen solchen Widerruf beachten und das Konto des Zahlungspflichtigen wieder erkennen.165 Das Abbuchungsauftragsverfahren unterscheidet sich vom Einziehungsermächtigungsverfahren dadurch, dass hier der Schuldner seinem Kreditinstitut den Auftrag erteilt, nach Vorlage einer Lastschrift durch den Gläubiger diese zu Lasten seines Kontos einzulösen. Folglich handelt die Zahlstelle als Kreditinstitut des Schuldners in diesem Fall auf dessen Weisung innerhalb des bestehenden Kontovertrags, so dass die Belastung nicht unberechtigt ist. Gegen die Kontobelastung aufgrund eines Abbuchungsauftrags ist deshalb ein Widerspruch nicht möglich. Das Abbuchungsauftragsverfahren ist für Zahlungen im Internet kaum geeignet, da dieses eine Weisung des Schuldners an sein Kreditinstitut, sein Konto zu belasten, voraussetzt. Damit jedoch hat der Gläubiger keine Möglichkeit, den Zahlungsvorgang selbst anzustoßen. Für Zahlungen im Internet wäre das Einziehungsermächtigungsverfahren attraktiv, da es über dieses möglich wäre, dass derjenige, der eine Dienstleistung in Anspruch nimmt, dem Dienstleister eine 163
Vgl. zum Ablauf Lastschriftverfahren Kümpel, Bank- und Kapitalmarktrecht, Rn. 4.411 ff.
164
Vgl. van Gelder, WM 2000, 101, 110; BGH v. 06.06.2000 – XI ZR 258/99, WM 2000, 1577 ff; OLG Dresden v. 28.06.1999 – 17 U 3963/98, WM 2000, 566=WuB I. D2.-2.00 Häuser; BGH v. 14.02.1989 – XI ZR 141/88, WM 1989, 520=WuB I. D2.-3.89 Hadding/Häuser; BGH v. 24.06.1985 – II ZR 277/84, NJW 1985, 2326; Bundschuh in FSStimpel 1985, 1039 (1040).
165
Kümpel, Bank- und Kapitalmarktrecht, Rn. 4.439; Van Gelder in Bankrechts-Handbuch I., § 58 Rn. 17; Canaris, Bankvertragsrecht, Rn. 578; Krepold in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/397.
66
4 Zahlungsverkehr über Online-Medien
Einziehungsermächtigung erteilt, so dass dieser den Zahlungsvorgang anstoßen könnte und nicht mehr darauf angewiesen wäre, auf die Zahlung des Schuldners zu warten. Es wäre so möglich, eine Dienstleistung zur Verfügung zu stellen und zeitnah das dafür zu zahlende Entgelt einzuziehen, der die Leistung erbringende wäre also nicht auf ein Handeln des Zahlungspflichtigen angewiesen.
4.3.2
Das Schriftformerfordernis im Einziehungsermächtigungsverfahren
Allerdings steht dem Einsatz des Einziehungsermächtigungs-Lastschriftverfahrens im Internet entgegen, dass gem. Abschnitt I. a. des Lastschriftabkommens eine Einziehungsermächtigung, die der Zahlungspflichtige dem Zahlungsempfänger erteilt, der (gewillkürten) Schriftform gem. §§ 126 Abs. 1, 127 BGB bedarf. Dieses Formerfordernis konnte bei Zahlungen über das Netz in der Vergangenheit jedoch nicht eingehalten werden, da es nicht möglich war, eine handschriftlich unterzeichnete Einziehungsermächtigung über das Internet zu übertragen. Selbst ein Einscannen genügt diesen Anforderungen nicht, da dadurch dem Lastschrifteinreicher und Zahlungsempfänger immer noch keine handschriftliche Originalunterschrift vorliegt. Es könnte zwar überlegt werden, ob die Schriftform nicht durch spezielle Legitimationsverfahren substituiert werden kann, jedoch steht dem der ausdrückliche Wortlaut des Abschnitts I. Nr. 1 a des Lastschriftabkommens entgegen, in dem ausdrücklich die Schriftform erwähnt wird, mit der die gewillkürte gem. §§ 126 Abs. 1, 127 BGB gemeint ist.166 Zwar ist es typisch für die „gewillkürte“ Schriftform, dass diese in beiderseitigem Einvernehmen der Vertragsparteien durch eine andere Form ersetzt werden kann,167 jedoch ist die Bindungswirkung des Lastschriftabkommens weitergehender als die einer entsprechenden Schriftformabrede zwischen Vertragsparteien. Da es sich beim Lastschriftabkommen um ein Interbankenabkommen handelt, an das alle Kreditinstitute gebunden sind, die über ihre Verbände Vertragspartner dieses Abkommens geworden sind, kann die Schriftform nicht willkürlich ersetzt werden. Dies wäre nur möglich, wenn das ganze Abkommen eine entsprechende Änderung erfahren würde. Dagegen kann ein Kreditinstitut als Vertragspartei des Lastschriftabkommens gegenüber seinen Kunden nicht auf die Schriftform verzichten. Deshalb ist das besondere Formerfordernis im Lastschriftabkommen eher mit der gesetzlichen Schriftform vergleichbar als mit der gewillkürten, da ein Kreditinstitut nicht die Befugnis hat, auf dieses Formerfordernis zu verzichten. Allerdings lässt das Lastschriftabkommen Ausnahmen vom Schriftformerfordernis zu. Anlage 3 enthält spezielle „Bedingungen für die Zulassung nicht schriftlich erteilter Einziehungsermächtigungen”. Der Anwendungsbereich dieser Be166
Vgl. Werner in Hopt, Vertrags- und Formularbuch, IV. D.2 Anmerkung 5, 979.
167
Vgl. Palandt/Heinrichs, § 127, Rn. 1a; Holzbach/Süßenberger in Moritz/Dreier, RechtsHandbuch zum E-Commerce, C Rn. 111; Ebbing CR 1996, 271 (272).
4.3 Das Lastschriftverfahren im Internet
67
dingungen ist jedoch eingeschränkt. Nicht schriftlich erteilte Einziehungsermächtigungen sind nur zulässig, wenn x es sich um Einmaleinzüge bis max. Euro 50,00 handelt, x der Zahlungsempfänger den Zahlungspflichtigen darüber unterrichtet, dass der Einzug des Rechnungsbetrags ohne schriftliche Einziehungsermächtigung erfolgt und dieses nicht schriftliche Einverständnis dokumentiert, x der Zahlungsempfänger sein Kreditinstitut, d. h. die erste Inkassostelle, von jeder Haftung freistellt, die sich aus dem Verzicht des Schriftformerfordernisses nach dem Lastschriftabkommen ergeben kann, x der Zahlungsempfänger ausdrücklich anerkennt, dass ihn nach der Vereinbarung über den Einzug von Forderungen durch Lastschriften im Einzugsermächtigungsverfahren, in der sogenannten „Inkassovereinbarung”, die Verpflichtung trifft, zurückgegebene Lastschriften jederzeit wieder aufzunehmen, x der Zahlungsempfänger auf jede Form von Werbung für das nicht schriftliche Einziehungsermächtigungsverfahren verzichtet, x die Einräumung der nicht schriftlichen Erteilung von Einziehungsermächtigungen nicht zu einer Benachteiligung anderer Zahlungsverfahren führt und der Zahlungsempfänger dem Zahlungspflichtigen mindestens ein gleichwertiges Zahlungsverfahren zu preislich identischen Bedingungen anbietet. Darüber hinaus hat die Bank des Lastschrifteinreichers, mit der die Inkassovereinbarung getroffen wird, das Recht, die Zusatzvereinbarung über die Zulassung eines nicht schriftlichen Lastschriftverfahrens jederzeit fristlos zu beenden, wenn der Lastschrifteinreicher die sich daraus ergebenden Pflichten verletzt oder es aufgrund eines gehäuft auftretenden Missbrauchs nicht mehr vertretbar ist, das Verfahren fortzusetzen. Das nach dem Lastschriftabkommen zulässige nicht schriftliche Einziehungsermächtigungsverfahren kommt folglich immer dann nicht in Betracht, wenn an den Zahlungsempfänger regelmäßige Leistungen erbracht werden sollen, denn zulässig ist es allenfalls bei Einmaleinzügen. Sofern jedoch der Vertrieb von Produkten oder Dienstleistungen über Online-Medien darauf ausgelegt ist, vom Verbraucher wiederholt Rechnungsbeträge einzuziehen, fehlt schon die Voraussetzung des Einmaleinzugs. Auch dürfte es beim Einsatz über Online-Medien problematisch sein, wenn auf jegliche Art von Werbung für dieses Verfahren verzichtet werden muss, da der Anbieter von Waren oder Dienstleistungen dadurch keine Möglichkeit hätte, Interessenten nachdrücklich auf dieses schnelle und einfache Zahlungsverfahren hinzuweisen. Schließlich dürfte sich der Anwendungsbereich für dieses Verfahren bereits dadurch relativieren, dass der Anbieter, der das Einziehungsermächtigungs-Lastschriftverfahren zur Verfügung stellt, gehalten ist, auch ein anderes Zahlungsver-
68
4 Zahlungsverkehr über Online-Medien
fahren vorzuhalten. Unter Berücksichtigung, dass dieses weitere Verfahren nicht benachteiligt werden darf, hat ein Online-Anbieter keine Möglichkeit, das Einziehungsermächtigungs-Lastschriftverfahren mit zusätzlichen Vorteilen zu verbinden, durch die der Zahlungspflichtige bewegt werden könnte, dieses Verfahren und nicht das angebotene Alternativverfahren zur Zahlung zu benutzen.168 Schließlich darf beim Einsatz des Einziehungsermächtigungs-Lastschriftverfahren nicht übersehen werden, dass das Lastschriftverfahren selbst insofern mit Risiken verbunden ist, als der Zahlungspflichtige die Möglichkeit hat, der Belastung augrund einer Einziehungsermächtigungs-Lastschrift jederzeit zu widersprechen.169 Zurückzuführen ist dies auf die ständige höchstrichterliche Rechtsprechung, wonach Belastungen aufgrund einer Einziehungsermächtigungs-Lastschrift auf dem Konto des Zahlungspflichtigen bis zu dessen Genehmigung grundsätzlich unberechtigt sind, da die Kontobelastung nicht aufgrund einer Weisung des Kontoinhabers, sondern eines Dritten, der keine Befugnisse hat, über dieses Konto zu verfügen, erfolgt.170 Danach ist in jedem Fall eine Genehmigung der Belastungsbuchung durch den Lastschriftschuldner einzuholen. Auf dieser Rechtsgrundlage ist es auch nicht möglich, die Belastungen in irgendeiner Weise zuvor zu autorisieren. Dies hat zur Konsequenz, dass das Kreditinstitut des Zahlungspflichtigen, die Zahlstelle, dessen Konto immer unberechtigt belastet. Folglich kann dieser der Abbuchung jederzeit widersprechen, solange er den Zahlungsvorgang selbst noch nicht genehmigt hat. Eine zeitliche Befristung für das Widerspruchsrecht gibt es nach bisheriger Rechtsprechung nicht.171 Aufgrund dessen bleibt wenig Raum für eine konkludente Genehmigung, die zum Teil aus dem Schweigen des Schuldners nach Übersendung des die Belastung dokumentierenden Kontoauszugs abgeleitet wird.172 Dem steht jedoch die höchstrichterliche Rechtsprechung entgegen, die eine solche konkludente Genehmigung verneint.173 Aufgrund dessen ist auch ein Lastschriftverfahren, bei dem die Schriftform eingehalten oder in zulässiger Weise substituiert wird, für den Zahlungsempfänger nicht frei von Risiken, da er nach 168
Vgl. Werner, BKR 2002, 11 (13).
169
Vgl. BGH v. 06.06.2000 – XI ZR 258/99, WM 2000, 1577 ff; OLG Dresden v. 28.06.1999 – 17 U 3963/98, WM 2000, 566=WuB I. D2.2.00 Häuser.
170
Vgl. van Gelder in Bankrechts-Handbuch I., § 58 Rn. 24 ff; Häuser ZBB 1995, 292; Kümpel, Bank- und Kapitalmarktrecht, Rn. 4.465 ff; Denck, ZHR 147 (1983), 544f; Hadding/Häuser, WM-Sonderbeilage 1/1983, 9; Zusammenfassend m.w.N. Langenbucher, Risikozuordnung im bargeldlosen Zahlungsverkehr, 186f.
171
Vgl. BGH WM 2000, 1577.
172
Vgl. dazu Kümpel, Bank- und Kapitalmarktrecht, Rn. 4.480; Schwintowski/Schäfer, Bankrecht, § 8 Rn. 42; Wand, WM 1995, 2165, 2168f.; Hütter in Münchner Kommentar, § 783, Rn. 68f.
173
Vgl. BGH v. 06.06.2000 – XI ZR 258/99, WM 2000, 1577; ebenso ein Teil der Literatur, vgl. Bauer, WM 1981, 1190; Bundschuh in FS-Stimpel, 1039 (1044 ff); Denck ZHR 147 (1983), 544 (552 ff); Schwintowski/Schäfer, Bankrecht, § 8 Rn. 42; Wand, WM 1995, 2165, 2168.
4.3 Das Lastschriftverfahren im Internet
69
bisheriger Rechtslage während eines unbegrenzten Zeitraums keine Gewähr dafür hat, den Lastschriftbetrag behalten zu dürfen. Allerdings versucht die deutsche Kreditwirtschaft diesem Risiko dadurch zu begegnen, dass Nr. 7 Abs. 3 der AGB-Banken und Nr. 7 Abs. 4 der AGB-Sparkassen in der jeweils seit 01.04.2002 geltenden Fassung vorsehen, dass, sofern nach Übersendung eines Rechnungsabschlusses den darin enthaltenen Buchungen aufgrund von Einziehungsermächtigungslastschriften nicht innerhalb von sechs Wochen widersprochen wird, die Buchungen als genehmigt gelten, sofern auf diese Rechtsfolge im Rechnungsabschluss eindeutig hingewiesen wurde.174 Außerdem wird in der Rechtsprechung des OLG München die Ansicht vertreten, im Falle der Insolvenz des Lastschriftschuldners sei der Insolvenzverwalter berechtigt, gegen die Belastungen aufgrund von Einziehungsermächtigungslastschriften auf dem Konto des Gemeinschuldners Widerspruch zu erheben, solange die Genehmigung gem. Nr. 7 Abs. 3 AGB-Banken noch nicht erteilt worden ist.175 Dies deckt sich mit der vom IX. Zivilsenat des BGH vertretenen Rechtsansicht, wonach bis zur Genehmigung einer Lastschriftbelastung noch keine Erfüllung der Grundforderung eingetreten ist, sodass der Insolvenzverwalter während dieses Zeitraums ein Widerspruchsrecht habe.176 Demgegenüber wird die Ansicht vertreten, dass die Forderung im Grundverhältnis mit der Lastschriftbelastung erlischt, sodass der Insolvenzverwalter folglich auch kein weitergehendes Widerspruchsrecht habe.177 Der BGH differenziert in seiner Entscheidung zwischen der Stellung des vorläufigen und des starken vorläufigen Verwalters. Ersterer könne, da er nur mit Zustimmungsvorbehalt vorläufig bestellt worden sei, nicht anstelle des Schuldners im eigenen Namen handeln und auch nicht in die Rechte und Pflichten des Schuldners eintreten, Folglich können die zwischen der Bank und dem Schuldner getroffenen AGB keine Anwendung finden, sodass der vorläufige Verwalter mit Zustimmungsvorbehalt nicht die Genehmigungswirkung gem. Nr. 7 Abs. 3 AGB-Banken herbeiführen kann. Dagegen trete der starke vorläufige Insolvenzverwalter in die Rechtsstellung des Schuldners vor Erlass der Verfügungsbeschränkungen ein, sodass er die von Nr. 7 Abs. 3 AGB-Banken ausgehenden Rechtswirkungen – und damit auch die Genehmigungsfiktion – gegen sich gelten lassen müsse.178 Es ist jedoch nicht im Ergebnis einzusehen, warum den Insolvenzverwalter nicht die gleiche Verpflichtung wie den Schuldner aus dem Valutaverhältnis treffen soll, einen Widerspruch ohne anerkennenswerte Gründe zu unterlassen. Der Insolvenzverwalter tritt lediglich gem. § 80 Abs. 1 InsO in die Rechte und Pflichten des Schuldners ein, seine 174
Schebesta, in: Lang/Assies/Werner, Schuldrechtsmodernisierung in der Bankpraxis, § 9 IX. 2d S. 263.
175
OLG München WM 2007, 883.
176
BGH WM 2004, 2482 und BGH WM 2006, 2092.
177
Nobbe/Ellenberger, WM 2006, 1885.
178
BGH Urteil v. 25.10.2007 – Az. IX ZR 217/06 –, Zusammenfassung in ZIP 2007, A91.
70
4 Zahlungsverkehr über Online-Medien
Rechte werden durch die Insolvenz jedoch nicht erweitert. Damit wäre es jedoch nicht vereinbar, wenn ein Widerspruch des Insolvenzverwalters nicht rechtsmissbräuchlich wäre, ein entsprechender des Schuldners außerhalb des Insolvenzverfahrens dagegen schon.179 Auch wenn mangels Genehmigung einer Belastung aufgrund einer Einziehungsermächtigungslastschrift im Deckungsverhältnis widersprochen werden kann, ändert dies nichts daran, dass im Valutaverhältnis die Erfüllung mit Einlösung der Lastschrift durch die Bank erfolgt und in diesem Verhältnis ein Widerspruch eine Verletzung der daraus resultierenden Pflichten darstellt. Trotz dieser Risiken ist das Lastschriftverfahren dennoch ein attraktives Verfahren für Zahlungen über Online-Medien, weshalb es von Online-Diensteanbietern gerne eingesetzt wird. Sofern jedoch nicht die Voraussetzungen der Anlage 3 zum Lastschriftabkommen über den Verzicht der Schriftform vorliegen und keine Sondervereinbarung mit der ersten Inkassostelle getroffen wurde, ist der Einsatz eines nicht schriftlichen Lastschriftverfahrens rechtlich unzulässig. Es ist dabei jedoch zu unterscheiden zwischen einem Kreditinstitut, das ein nicht schriftliches Lastschriftverfahren anbietet und einem Online-Dienstleister, der ein solches ohne Abstimmung mit seinem Kreditinstitut offeriert. Wie bereits weiter oben ausgeführt, entfaltet das Lastschriftabkommen zwar nur im Interbankenverhältnis Wirkungen, die Einhaltung des Schriftformerfordernisses bei Einholung der Einziehungsermächtigung ist jedoch zwingend an den Lastschrifteinreicher weiterzugeben, da die am Lastschriftabkommen beteiligten Kreditinstitute aufgrund der sich aus Abschnitt I. Nr. 1 a ergebenden Verpflichtung gehalten sind, das Schriftformerfordernis hinsichtlich der Einziehungsermächtigungslastschriften an ihren Kunden – den Lastschrifteinreicher – weiterzugeben, sofern nicht die Voraussetzungen der Anlage 3 vorliegen. Bietet folglich ein Kreditinstitut seinen Bankkunden ein Lastschriftverfahren an, ohne dass die Voraussetzungen der Anlage 3 zum Lastschriftabkommen vorliegen, verstößt es gegen das Lastschriftabkommen. Zwar enthält dieses keine ausdrücklichen Sanktionen im Fall eines Verstoßes gegen das Schriftformerfordernis – von der Regelung in Abschnitt IV. Nr. 3 einmal abgesehen, wonach Verstöße gegen die aus dem Abkommen erwachsenen Verpflichtungen unverzüglich nach bekannt werden zu rügen sind und eventuelle Schadensersatzansprüche in der Höhe auf den Betrag des betroffenen Vorgangs beschränkt sind, jedoch ist davon auszugehen, dass massive Verstöße durch ein Kreditinstitut gegen das Schriftformerfordernis dazu führen können, dass das Lastschriftabkommen mit ihm gem. Abschnitt VI. gekündigt werden kann und es damit aus dem Lastschriftverfahren ausscheidet. Aufgrund der besonderen Bedeutung des Schriftformerfordernisses für das Lastschriftverfahren sind die Kreditinstitute auch gehalten, in die Vereinbarungen über den Einzug von Forderungen mittels Lastschriften mit den Lastschrifteinreichern die ausdrückliche Verpflichtung aufzunehmen, nur solche Lastschriften zum 179
Obermüller, Insolvenzrecht in der Praxis, Rn. 3/452a.
4.3 Das Lastschriftverfahren im Internet
71
Einzug einzureichen, für die diesen eine schriftliche Einziehungsermächtigung vorliegt.180 Verletzt ein Lastschrifteinreicher diese Verpflichtung, verwirklicht er einen Verstoß gegen die zwischen ihm und seiner Bank bestehenden Vereinbarung über den Einzug von Forderungen mittels Lastschrift, aufgrund dessen die erste Inkassostelle als sein Vertragspartner berechtigt ist, die Vereinbarung über den Forderungseinzug mittels Lastschriften zu kündigen. Weiterhin ist zu beachten, dass die Kreditinstitute aus dem Lastschriftabkommen die Verpflichtung trifft, für die Einhaltung des Schriftformerfordernisses bei der Erteilung von Einziehungsermächtigungen Sorge zu tragen. Daraus folgt, dass eine Inkassostelle, der schwerwiegende Verstöße gegen die entsprechenden Verpflichtungen in einer Inkassovereinbarung bekannt werden, sogar gehalten sein kann, mit dem Lastschrifteinreicher die Vereinbarung über den Forderungseinzug mittels Lastschriften schnellstmöglich zu beenden. Der Lastschrifteinreicher würde dadurch vom Lastschriftverfahren ausgeschlossen.181 Zwar ist die Einhaltung des Schriftformerfordernisses keine Voraussetzung für eine gesicherte Position des Lastschrifteinreichers, gleichwohl ist diese Einhaltung von elementarer Bedeutung, um Missbräuche sowohl durch den Lastschrifteinreicher als auch den Zahlungspflichtigen zu unterbinden. Außerdem dient das Schriftformerfordernis dem Übereilungsschutz, da der Zahlungspflichtige so angehalten wird, noch einmal zu überprüfen, ob er dem Zahlungsempfänger tatsächlich eine Ermächtigung erteilen will, sein Konto zu belasten.182
4.3.3
Die elektronische Substituierung der Schriftform
Allerdings hat sich die Rechtslage im Hinblick auf das Schriftformerfordernis durch das „Gesetz zur Anpassung der Formvorschriften des Privatrechts und anderer Vorschriften an den modernen Rechtsgeschäftsverkehr” vom 13.07.2001183 hinsichtlich der Frage, ob eine im Internet abgegebene Willenserklärung dem Schriftformerfordernis genügen kann, geändert. Bei Inkrafttreten des bezeichneten Gesetzes war es nicht möglich, das Schriftformerfordernis, das eine eigenhändige Unterschrift auf einer Urkunde voraussetzt, bei Willenserklärungen über OnlineMedien einzuhalten.184 Zwar ist das Signaturgesetz schon zum 01.08.1997 in Kraft getreten, das in seiner ursprünglichen Fassung die digitale Signatur als ein Siegel bestimmte, das mittels eines Signaturprogramms aus einer Computerdatei und dem 180
Vgl. zu einer entspr. Mustervereinbarung Werner in Hopt, Vertrags- und Formularbuch, IV. D3 981 und 917; van Gelder in Bankrechts-Handbuch I., Anhang 2 zu: §§ 56 – 59, 1280 ff.
181
Vgl. Werner, BKR 2002, 11 (13).
182
Vgl. Krepold in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/347 und Rn. 6/383.
183
BGBl I 2001, 1541.
184
Vgl. Holzbach/Süßenberger in Moritz/Dreier, Rechts-Handbuch zum E-Commerce, C, Rn. 113.
72
4 Zahlungsverkehr über Online-Medien
privaten Schlüssel des Erstellers erzeugt wird,185 es enthielt jedoch keine Regelungen über die rechtliche Bedeutung einer mittels digitaler Signatur abgegebenen Willenserklärung. Insbesondere fehlten Regelungen über das Verhältnis zur Schriftform. Folglich konnte selbst eine digitale Signatur, die den Anforderungen des Signaturgesetzes genügte, nicht als Substitut der gewillkürten Schriftform gem. §§ 126 Abs. 1, 127 BGB angesehen werden. Auch die Neufassung des Signaturgesetzes vom 16.05.2001186 führte nicht zu einer entsprechenden Gleichstellung. Durch das bereits erwähnte „Gesetz zur Anpassung der Formvorschriften des Privatrechts und anderer Vorschriften an den modernen Rechtsgeschäftsverkehr“ vom 13.07.2001187 sind jedoch mit den §§ 126a und 127 Abs. 2 BGB Regelungen über die Anerkennung der elektronischen Form als Äquivalent zur gesetzlichen und zur gewillkürten Schriftform eingeführt worden. Aus diesen Vorschriften ergibt sich, dass die elektronische Signatur, die den Anforderungen an eine qualifizierte elektronische Signatur nach dem Signaturgesetz genügt, die gesetzliche Schriftform ersetzen kann.188 Sofern die Schriftform nicht gesetzlich vorgeschrieben ist, ist es gem. § 127 Abs. 2 BGB sogar möglich, eine Willenserklärung telekommunikativ zu übermitteln. Es genügt für die Einhaltung der rechtsgeschäftlich vereinbarten elektronischen Form gem. § 127 Abs. 3 BGB, dass andere als qualifizierte elektronische Signaturen entsprechend § 2 Nr. 3 SigG verwendet und zum Vertragsabschluß digital signierte Angebots- und Annahmeerklärungen ausgetauscht werden.189 Da die elektronische Form der Schriftform nunmehr gleichgestellt ist, kann daraus auch die Schlussfolgerung gezogen werden, dass es möglich ist, Einziehungsermächtigungen in elektronischer Form zu erteilen. Zwar ist das Schriftformerfordernis im Lastschriftabkommen selbst nicht modifiziert worden, aus der gesetzlichen Gleichstellung elektronischer Formen mit der gewillkürten und der gesetzlichen Schriftform ist jedoch zu schlussfolgern, dass auch dem Schriftformerfordernis nach dem Lastschriftabkommen Genüge getan wird, sofern eine elektronische Form gewählt wird, die der Schriftform gleichgestellt ist. Fraglich ist allerdings, ob bei Erteilung einer elektronischen Einziehungsermächtigung die Form der gesetzlichen oder der gewillkürten Schriftform einzuhalten ist. Zwar handelt es sich beim Lastschriftabkommen um eine privatrechtliche Vereinbarung, so dass die darin vorgesehene Schriftform als gewillkürte und nicht als gesetzliche Schriftform angesehen werden könnte, 185
Vgl. Holzbach/Süßenberger in Moritz/Dreier, Rechts-Handbuch zum E-Commerce, C Rn. 118.
186
BGBl I. 2001, 876.
187
BGBl I. 2001, 1541.
188
Vgl. dazu: Roßnagel, NJW 2001, 1825; Holzbach/Süßenberger in Moritz/Dreier, Rechts-Handbuch zum E-Commerce, C Rn. 124.
189
Vgl. dazu Holzbach/Süßenberger in Moritz/Dreier, Rechts-Handbuch zum ECommerce, C Rn. 125.
4.3 Das Lastschriftverfahren im Internet
73
dennoch ist die Gleichstellung mit der elektronischen Form gem. § 126 a BGB näher liegend als die mit der telekommunikativen Übermittlung gem. § 127 Abs. 2 BGB, denn die im Lastschriftabkommen vorgesehene Schriftform geht auf Anforderungen des früheren BAKred (der jetzigen BAFin) zurück und ist deshalb eher mit der gesetzlichen als mit der vertraglich vereinbarten Form vergleichbar. Deshalb dürfte die Schriftform der Einziehungsermächtigung durch die elektronische Form gem. § 126a BGB zu substituieren sein und nicht lediglich durch die telekommunikative Form gem. § 127 Abs. 2 BGB. Auf dieser Grundlage ist es möglich, das Einziehungsermächtiungs-Lastschriftverfahren als Zahlungsverfahren im Internet einzusetzen, doch setzt dies voraus, dass der Lastschriftschuldner über eine qualifizierte elektronische Signatur verfügt, die den Anforderungen des SigG genügt.190 Eine entsprechende qualifizierte elektronische Signatur muss jedoch von einem Zertifizierungsdienste-Anbieter vergeben werden und ist mit Kosten verbunden. Verbraucher, die bisher jedoch noch keine Notwendigkeit gesehen haben, sich eine entsprechende elektronische Signatur zu besorgen, haben auf dieser Basis keine Möglichkeit, am Einziehungsermächtigungs-Lastschriftverfahren über das Internet teilzunehmen. Die Möglichkeit zur Nutzung des Internet-Lastschriftverfahrens korreliert folglich mit der Verbreitung der qualifizierten elektronischen Signatur. Es bleibt deshalb abzuwarten, ob und inwieweit auf dieser Grundlage wirklich zu einer Ausweitung eines Internet-Lastschriftverfahrens kommt. In der Praxis hat sich allerdings die Substitution der Schriftform durch die telekommunikative Form gem. § 127 Abs. 2 BGB durchgesetzt.
4.3.4
Die Endgültigkeit der Zahlung
Darüber hinaus beseitigt die elektronische Signatur nicht die übrigen, mit dem Lastschriftverfahren verbundenen Risiken. Wie bereits an anderer Stelle ausgeführt, ist auch nach neuester höchstrichterlicher Rechtsprechung die Kontobelastung aufgrund einer Einziehungsermächtigungslastschrift grundsätzlich unberechtigt und kann vom Lastschriftschuldner jederzeit selbst dann widerrufen werden, wenn dieser dem Lastschrifteinreicher eine wirksame Einziehungsermächtigung erteilt hat.191 Aufgrund dessen erlangt die Zahlstelle als Kreditinstitut des Lastschriftschuldners einen Aufwendungsersatzanspruch gegen ihren Kunden erst dann, wenn die Belastungsbuchung auf seinem Konto genehmigt wurde.192 Die 190
Vgl. dazu Roßnagel, NJW 2001, 1825; Scheffler/Dressel, CR 2000, 378 (379).
191
Diese Rechtsprechung erneut bestätigend BGH v. 06.06.2000 – XI ZR 258/99, WM 2000, 1577 ff; vgl. zur Vorinstanz OLG Dresden v. 28.06.1999 – 17 U 3963/98, WM 2000, 566=WuB I. D 2.-2.00 Häuser, zusammenfassend van Gelder, WM 2000, 101; ders. in Bankrechts-Handbuch I., § 57 Rn. 37 ff.
192
Vgl. van Gelder in Bankrechts-Handbuch I., § 57, Rn. 36; ders. WM 2000, 101; Hadding/Häuser, WM-Sonderbeilage 1/1983 16 ff.; Nobbe, Neue höchstrichterliche Rechtssprechung, Rn. 401 ff.
74
4 Zahlungsverkehr über Online-Medien
Verpflichtung zur Wiedervergütung besteht aufgrund dessen beim Widerspruch des Zahlungspflichtigen auch dann, wenn sein Kreditinstitut weiß, dass er gegenüber dem Lastschrifteinreicher zur Zahlung verpflichtet ist und diesem eine Einziehungsermächtigung erteilt hat.193 Dem steht auch nicht entgegen, dass Abschnitt III. Nr. 1 des Lastschriftabkommens vorsieht, dass die Inkassostelle, also die Bank des Lastschrifteinreichers, nach Ablauf von sechs Wochen die Lastschrift nicht wieder aufnehmen muss. Es handelt sich dabei lediglich um eine Frist, die im Interbankenverhältnis gilt, die jedoch keine Außenwirkungen hat.194 Aufgrund dessen ist eine ausdrückliche Genehmigung nach der Kontobelastung erforderlich, die in der Praxis weder ausdrücklich erklärt noch eingeholt wird. Das Schweigen kann jedoch keine Genehmigung begründen.195 Auch das Schweigen auf die Übersendung eines Kontoauszugs oder eines Rechnungsabschlusses kann nicht als zustimmende Willenserklärung gewertet werden, sofern aus diesen Unterlagen nicht hervorgeht, dass ein Schweigen als Zustimmung zu werten ist und welche Konsequenzen sich aus der Zustimmung ergeben.196 Bezüglich der Rechnungsabschlüsse enthielt bereits Nr. 7 Abs. 2 der bis zum 31.03.2002 geltenden Fassung der AGB-Banken eine Regelung, wonach das Unterlassen einer rechtzeitigen Einwendung gegen einen solchen als Genehmigung anzusehen war. Darüber hinaus ergab sich aus Nr. 7 Abs. 2 Satz 1 dieser Allgemeinen Geschäftsbedingungen die Verpflichtung des Kontoinhabers, Einwendungen wegen Unrichtigkeiten oder Unvollständigkeiten des Rechnungsabschlusses innerhalb eines Zeitraums von 6 Wochen nach Zugang zu erheben. Gleichwohl konnte daraus nicht die Schlussfolgerung gezogen werden, dass ein Kontoinhaber, der nicht innerhalb dieses Zeitraums einer Kontobelastung aufgrund einer Einziehungsermächtigungslastschrift widersprach, dieser Belastung durch Schweigen zugestimmt hatte. Einem solchem Schweigen konnte nur dann rechtsverbindliche Wirkung zukommen, wenn der Bankkunde um die Wirkungen dieses Schweigens wusste, worauf er in der Regel nicht hingewiesen wurde. Hingegen war eine Genehmigung zu verneinen, wenn die Bank mit einem entsprechenden Einverständnis des Zahlungspflichtigen nicht rechnen konnte.197
193 194
195
196 197
Vgl. OLG Düsseldorf v. 24.11.2000 – 22 U 94/00, NJW-RR 2001, 557. Vgl. Canaris, Bankvertragsrecht, Rn. 559; van Gelder in Bankrechts-Handbuch I., § 58, Rn. 70f.; ders. WM 2000, 103; BGH v. 06.06.2000 – XI ZR 258/99, WM 2000, 1577 = NJW 2000, 2667f. Vgl. BGH v. 24.06.1985 – II ZR 277/84, WM 1985, 905; BGH v. 17.09.1991 – XI ZR 256/90,NJW 1992, 112; BGH v. 06.06.2000 – XI ZR 258/99, WM 2000, 1577 ff. = NJW 2000, 2667 ff; Bauer, WM 1981, 1189; Canaris, Bankvertragrecht, Rn. 559; van Gelder in Bankrechts-Handbuch I., § 58 Rn. 75 ff. Vgl. Langenbucher, Risikozuordnung im bargeldlosen Zahlungsverkehr, 203. Vgl. Schwintowski/Schäfer, Bankrecht, § 8 Rn. 42; Bunte in Bankrechts-Handbuch I., § 12 Rn. 27; Langenbucher, Risikozuordnung im bargeldlosen Zahlungsverkehr, 204.
4.3 Das Lastschriftverfahren im Internet
75
Da weder die Rechnungsabschlüsse noch die AGB-Banken bisher einen Hinweis darauf enthielten, welche Konsequenzen sich aus der Genehmigung von Buchungen aufgrund von Einziehungsermächtigungslastschriften ergaben, konnte aus dem Schweigen nicht die Schlussfolgerung gezogen werden, dass der Bankkunde wusste, das er durch dieses Schweigen sein Widerspruchsrecht verlor. Wenn weiterhin auch unbekannt war, dass die Belastungen auf seinem Konto aufgrund von Einziehungsermächtigungs-Lastschriften nach bisheriger Rechtsprechung unberechtigt waren, konnte aus dem Schweigen in keinem Fall die Zustimmung zu diesen Belastungen geschlussfolgert werden.198 Eine Genehmigung der Belastungsbuchung aufgrund einer Einziehungsermächtigungslastschrift durch Schweigen setzt deshalb voraus, dass der Lastschriftschuldner über den Erklärungsinhalt seines Schweigens vorab umfassend unterrichtet wurde. Falls eine solche Unterrichtung jedoch nicht erfolgte, konnte es auch keine Genehmigungsfiktion geben.199 Um künftig diese Wirkung herbeizuführen, sind die AGB der deutschen Kreditinstitute zum 01.04.2002 geändert worden. Nr. 7 Abs. 3 AGB-Banken bzw. Nr. 7 Abs. 4 S. 4 AGB-Sparkassen enthält deshalb eine ausdrückliche Regelung zur Genehmigung von Belastungen aufgrund von Lastschriften. Diese Regelung besagt, dass dann, wenn ein Bankkunde eine Belastungsbuchung aus einer Lastschrift, für die er dem Gläubiger eine Einziehungsermächtigung erteilt hat, noch nicht genehmigt hat, er Einwendungen gegen diese im Saldo des nächsten Rechnungsabschlusses enthaltene Buchung innerhalb von sechs Wochen nach Zugang des Rechnungsabschlusses erheben muss. Unterlässt er eine rechtzeitige Einwendung, wird dies als Genehmigung der Belastung gewertet, sofern die Bank den Bankkunden bei Erteilung des Rechnungsabschlusses auf diese Wirkungen bzgl. der Belastungen aufgrund von Einziehungsermächtigungs-Lastschriften nochmals gesondert hinweist.200 Nr. 7 Abs. 4 AGB-Sparkassen enthält eine vergleichbare Regelung. Diese Bestimmungen sind konzipiert worden, um den Anforderungen der Rechtsprechung, wie sie in einer neueren Entscheidung des BGH dargelegt wurden,201 Rechnung zu tragen, da in der bezeichneten Entscheidung angedeutet wurde, dass eine Genehmigung durch Schweigen oder konkludentes Verhalten dann zulässig sein kann, wenn der Lastschriftschuldner auf die Folgen seines Schweigens bzw. das Unterlassen eines Widerspruchs zuvor hingewiesen wurde. Sollten diese Klauseln in den AGB der Kreditinstitute den Anforderungen der höchstrichterlichen Rechtsprechung standhalten, kann den Belastungen aufgrund von Einziehungsermächtigungslastschriften nach Ablauf von sechs Wochen nicht mehr widersprochen werden. Aus dem Lastschriftverfahren würde dadurch ein 198
Vgl. Werner, BKR 2002, 11 (15).
199
Vgl. dazu BGH v. 06.06.2000 – XI ZR 258/99, WM 2000, 1575 ff. = NJW 2000, 2667; a.A. Langenbucher, Die Risikozuordnung im bargeldlosen Zahlungsverkehr, 205.
200
Vgl. Schebesta in Lang/Assies/Werner, Schuldrechtsmodernisierung in der Bankpraxis, § 9 IX 1 d, 263.
201
Vgl. BGH v. 06.06.2000 – XI ZR 258/99, WM 2000, 1577=NJW 2000, 2667 ff.
76
4 Zahlungsverkehr über Online-Medien
wesentlich sichereres Zahlungsverfahren als in der Vergangenheit, denn es wäre dann gerade aufgrund der erweiterten Einsatzmöglichkeiten durch elektronische Signaturen als Zahlungsverfahren für das Internet geeignet. Die Sechswochenfrist nach dem Rechnungsabschluss ist jedoch nicht zu verwechseln mit der Sechswochenfrist gem. Abschnitt III. Nr. 1 des Lastschriftabkommens, da diese nicht an den Rechnungsabschluss, sondern an die Belastungsbuchung anknüpft. Kommt es innerhalb dieser sechs Wochen zum Widerspruch des Lastschriftschuldners, ist die Inkassostelle, d. h. das Kreditinstitut des Lastschrifteinreichers, unabhängig davon, ob der Zahlungsempfänger tatsächlich zurückbelastet werden kann, gem. Abschnitt III. Nr. 1 des Lastschriftabkommens verpflichtet, die Lastschrift wieder aufzunehmen.202 Die Inkassostelle wird dann versuchen müssen, den Lastschriftbetrag vom Lastschriftgläubiger zurück zu erhalten, trägt jedoch das Risiko, dass dieser insolvent wird oder nicht mehr erreichbar ist. Ansonsten ist sie berechtigt, dessen Konto jederzeit wieder zurückzubelasten, sofern sie die üblicherweise in die Vereinbarung über den Einzug von Forderungen durch Lastschriften aufzunehmende Regelung vereinbart hat, durch die sie berechtigt wird, den Lastschriftgläubiger zeitlich unbefristet mit Rücklastschriften zu belasten.203 Die Inkassostelle trägt jedoch nur innerhalb der Sechs-Wochen-Frist das Risiko der Uneinbringlichkeit der Rücklastschrift. Nach Ablauf dieser Frist muss die Inkassostelle dagegen die Lastschrift nicht wieder aufnehmen. Trotzdem kann auch nach Ablauf dieser sechs Wochen die Zahlstelle der Inkassostelle den Auftrag erteilen, sich um die Rückholung des Lastschriftbetrags zu bemühen. Aus dem Lastschriftabkommen, das das Girovertragsverhältnis zwischen den am Lastschriftverfahren beteiligten Kreditinstitute überlagert, ist aus dem besonderen Vertrauensverhältnis zwischen den beteiligten Banken abzuleiten, die dazu führt, dass die Inkassostelle im Verhältnis zur Zahlstelle zumindest die vertragliche Nebenpflicht hat, sich darum zu bemühen, den eingezogenen Lastschriftbetrag zurückzuerhalten. Sofern der Lastschrifteinreicher noch Kunde der Bank und zahlungsfähig ist, wird eine solche Rückholung auch problemlos möglich sein, wenn die Inkassostelle mit ihrem Kunden in die Inkassovereinbarung eine Regelung aufgenommen hat, wonach sie zu einer jederzeitigen Rückbelastung berechtigt ist. Da die Mustervereinbarung der Bankverbände eine solche Bestimmung ausdrücklich vorsieht, kann aus dem aus dem Lastschriftabkommen ableitbaren besonderen Vertrauensverhältnis der Kreditinstitute untereinander sogar die Verpflichtung abgeleitet werden, eine solche Regelung in die Inkassovereinbarung aufzunehmen und sich folglich um eine Rückholung zu bemühen. Diese Verpflichtung ist nicht an die
202
Vgl. van Gelder in Bankrechts-Handbuch I., § 58 Rn. 139 und 143; Canaris, Bankvertragsrecht, n. 588.
203
Vgl. den Abdruck einer solchen Vereinbarung in Krepold in Hellner/Steuer, BuB, Rn. 6/379 ff. und van Gelder in Bankrechts-Handbuch I., Anhang 2 zu §§ 56 bis 59, 1280 ff.
4.3 Das Lastschriftverfahren im Internet
77
Sechswochenfrist gebunden.204 Hat die Inkassostelle jedoch keine Möglichkeit mehr, Rückgriff beim Lastschrifteinreicher zu nehmen, trägt das Risiko der Uneinbringlichkeit der Lastschriftrückgabe die Zahlstelle, die sich dann gegenüber dem Zahlungsempfänger ggf. unmittelbar bemühen muss, den Betrag zurückzuerhalten. Misslingt dies, hat sie das Ausfallrisiko zu tragen. Wird jedoch berücksichtigt, dass der Lastschriftschuldner aus dem Girovertrag i.V.m. Nr. 11 Abs. 4 AGBBanken bzw. Nr. 20g AGB-Sparkassen verpflichtet ist, Kontoauszüge und alle sonstigen Informationen seines Kreditinstituts auf ihre Richtigkeit und Vollständigkeit hin zu überprüfen und etwaige Einwendungen unverzüglich zu erheben, kann dies dazu führen, dass ein schuldhaftes Verstreichenlassen der Sechswochenfrist zur Folge hat, dass er die daraus seinem Kreditinstitut entstandenen Schäden ausgleichen muss. Kann deshalb bei einem Widerspruch nach Ablauf von sechs Wochen der Lastschriftbetrag nicht mehr eingezogen werden, haftet der Lastschriftschuldner der Bank für den daraus entstandenen Schaden. Er hat dann den Lastschriftbetrag zuzüglich eventueller, seinem Kreditinstitut entstandener Kosten zu ersetzen, sofern er schuldhaft die Sechswochen-Frist hat verstreichen lassen und dies ursächlich für den entstandenen Schaden war.205 Dies gilt selbstverständlich auch für das Lastschriftverfahren über Online-Medien. Als Ergebnis ist deshalb festzuhalten, dass das EinziehungsermächtigungsLastschriftverfahren für das Internet dann geeignet ist, wenn Einziehungsermächtigungen mit der qualifizierten elektronischen Signatur gem. § 126 a BGB abgegeben werden können oder wenn deren Abgabe über andere vergleichbare elektronische Verfahren – z.B. durch Abgabe von Erklärungen in elektronischer Form gem. § 127 Abs.3 BGB – zulässig ist. Die systemimmanenten Risiken des Lastschriftverfahrens, die sich insbesondere daraus ergeben, dass die Belastungsbuchung auf dem Konto des Lastschriftschuldners grundsätzlich unberechtigt erfolgt, werden durch die Neuregelung in Nr. 7 Abs. 3 AGB-Banken und Nr. 7 Abs. 4 S. 4 AGB-Sparkassen reduziert.
204
Vgl. Denck, ZHR 147 (1983), 544, 560, a.A. Canaris, Bankvertragsrecht, Rn. 578.
205
Vgl. Werner, BKR 2002, 11 (16).
5
Kartengestützter Zahlungsverkehr
5.1 Konventionelle Kartenverfahren im Internet Bei den konventionellen Kartenverfahren ist zwischen dem Einsatz von Kreditkarten und ec-Karten zu unterscheiden. Da die Kreditkarte auf verschiedene Weise im Internet eingesetzt werden kann, ist ihr ein gesondertes Kapitel gewidmet, weshalb bei den konventionellen Kartenverfahren nur die Verfahren behandelt werden, die unter Einsatz einer ec-Karte ausgeführt werden können.
5.1.1
electronic-cash-Verfahren im Internet
Das electronic-cash-Verfahren wird in der „Vereinbarung über eine kreditinstitutsübergreifendes System zur bargeldlosen Zahlung an automatisierten Kassen (electronic-cash-System)“ geregelt, dessen Ursprungsfassung auf das Jahr 1990 zurückgeht. Die Spitzenverbände der deutschen Kreditwirtschaft, die Vertragspartner dieses Abkommens sind, haben die Ursprungsvereinbarung jedoch zwischenzeitlich durch eine Neufassung vom 01.09.1994 ersetzt.206 Die Vertragsparteien der electronic-cash-Vereinbarung sind der Bundesverband der deutschen Volksbanken und Raiffeisenbanken e.V., der Bundesverband deutscher Banken e.V., der Deutsche Sparkassen- und Giroverband e.V. sowie der Verband der öffentlichen Banken e.V.207 Allerdings hat auch die electronic-cash-Vereinbarung Vorläufer. Zu diesen gehörte eine Rahmenvereinbarung über die Abwicklung bargeldloser Zahlungen an automatisierten Kassen von Handels- und Dienstleistungsunternehmen mit institutsübergreifender Nutzung (bargeldlose Kassensysteme) aus dem Jahre 1981. Dadurch sollte den Handels- und Dienstleistungsunternehmen ein Zahlungsverfahren angeboten werden, das es ihren Kunden erlaubte, unter Einsatz der ec-Karte auf elektronischem Weg bargeldlos zu bezahlen. Das Verfahren wurde bewusst von der gesamten Kreditwirtschaft und damit wettbewerbsneutral angeboten, da nicht im Vordergrund stand, einzelnen Instituten oder Institutsgruppen Vorteile bei der Akquisition von Dienstleistungsunternehmen zu verschaffen, sondern es sollte insgesamt verhindert werden, dass Insellösungen einzelner Dienstleistungs206
Vgl. Werner in Hellner/Steuer, BuB, Rn. 6/1517.
207
Abgedruckt ist die Vereinbarung über ein institutsübergreifendes System zur bargeldlosen Zahlung an automatisierten Kassen (electronic-cash-System) bei Gößmann in Bankrechts-Handbuch I., Anhang 2 zu §§ 67, 68.
80
5 Kartengestützter Zahlungsverkehr
unternehmen entstehen. Es war jedoch bei diesem Verfahren – wie im electroniccash-Verfahren – Aufgabe der einzelnen Handels- und Dienstleistungsunternehmen, elektronische Kassen aufzustellen und zu betreiben.208 Die jetzt geltende Version der „Vereinbarung über ein institutsübergreifendes System zur bargeldlosen Zahlung an automatisierten Kassen (electronic-cashSystem)” legt neben den erforderlichen technischen und organisatorischen Voraussetzungen die Verpflichtung der beteiligten Institute fest, ein entsprechendes übergreifendes System zur bargeldlosen Zahlung an automatisierten Kassen aufzubauen und zu betreiben und enthält Regelwerke, die für alle daran Beteiligten gültig sind, oder die diese abschließen müssen. Das electronic-cash-System, das allein auf vertraglichen Vereinbarungen und nicht auf gesetzlichen Regelungen beruht, erfordert verschiedene Beteiligte mit unterschiedlichen Aufgaben. Die für das Verfahren erforderlichen electronic-cash-Netze sowie die Terminals werden von unabhängigen Netzbetreibern zur Verfügung gestellt, die der Zentrale Kreditausschuss, in dem die Spitzenverbände der deutschen Kreditwirtschaft vertreten sind, jedoch zuvor daraufhin überprüfen muss, ob die in der electronic-cashVereinbarung festgelegten erforderlichen technischen Voraussetzungen eingehalten werden. Eine Zulassung als Netzbetreiber kann nur erhalten, wer nicht nur die notwendige Zuverlässigkeit besitzt, sondern auch alle sonstigen von der Kreditwirtschaft geforderten Voraussetzungen erfüllt, die sich im einzelnen aus dem „Vertrag über die Zulassung als Netzbetreiber im electronic-cash-System der deutschen Kreditwirtschaft”, der zwischen den Spitzenverbänden der deutschen Kreditwirtschaft als Vertreter der deutschen Kreditwirtschaft und dem Netzbetreiber abzuschließen ist, ergeben.209 Die Handels- und Dienstleistungsunternehmen, die im electronic-cash-Verfahren Zahlungen entgegennehmen möchten, müssen zuvor die „Bedingungen der deutschen Kreditwirtschaft für die Teilnahme am electronic-cash-System” akzeptieren, die neben rechtlichen Bedingungswerken im technischen Anhang Regelungen zu den zugelassenen Karten sowie eine Betriebsanleitung enthalten. Dieses Bedingungswerk erhalten die Handels- und Dienstleistungsunternehmen von ihrem Netzbetreiber zur Unterschrift übermittelt, dieser handelt jedoch lediglich als Mittler zwischen den Händlern und der deutschen Kreditwirtschaft.210 Dieses Regelwerk enthält deshalb Rechte und Pflichten nicht nur gegenüber dem Netzbetreiber, sondern gegenüber der deutschen Kreditwirtschaft. Neben den bereits erwähnten Verpflichtungen der Teilnehmer und den Erläuterungen der technischen Aufgaben des Netzbetreibers enthalten die Händlerbedingungen auch die Zahlungsgarantie der kartenausgebenden Banken. Nr. 4 der Händlerbedingungen sieht vor, dass das kartenausgebende Institut im In- und Ausland mit der Nachricht über die positive Autorisierung die Erklärung 208
Vgl. Reiser, WM-Sonderbeilage 3/1989, 6.
209
Vgl. Harbeke, WM-Sonderbeilage 1/1994, 10.
210
Vgl. Werner in Hellner/Steuer, BuB, Rn. 6/1562; Harbeke, WM-Sonderbeilage 1/1994, 7.
5.1 Konventionelle Kartenverfahren im Internet
81
abgibt, dass es die Forderung in Höhe des am electronic-cash-Terminal autorisierten Betrages begleicht. Voraussetzung dafür ist, dass das electronic-cash-Terminal gegenüber dem Netzbetreiber zugelassen und nach dem mit ihm vereinbarten Verfahren betrieben wird. Außerdem gehört dazu, dass der electronic-cash-Umsatz dem Inkassoinstitut im Inland innerhalb von acht Tagen eingereicht wird. Sollte es sich um einen Auslandseinsatz handeln, also um einen Einsatz im „MaestroVerfahren”, müssen die Umsätze beim kartenausgebenden Institut im Ausland innerhalb von zwölf Tagen vorgelegt werden. Damit die Fristen eingehalten werden können, ist es erforderlich, dass das Handels- oder Dienstleistungsunternehmen die bei ihm anfallenden elektronischen Umsätze im Verfahren taggleich zum Inkasso einreicht. Es handelt sich bei diesem Verfahren also um ein solches, bei dem die Zahlung „garantiert“ wird.211 Für die Karteninhaber, die im electronic-cash-System bezahlen wollen, sind die jeweils aktuellen Bedingungen für ec- / Maestro-Karten maßgeblich. In diesen werden im Einzelnen die Missbrauchs- und Haftungsfragen geregelt. Dieses Vertragswerk gilt im Verhältnis zwischen den Karteninhabern und den kartenausgebenden Banken. Im electronic-cash-Verfahren sind die ec-Karten der Institute zugelassen, die an der electronic-cash-Vereinbarung beteiligt sind. Um mittels einer Karte zahlen zu können, muss diese Karte nicht nur eine Codierung enthalten, sondern auch mit einer PIN eingesetzt werden können, da diese für Zahlungen zur Nutzung im electronic-cash-Verfahren erforderlich ist. Allerdings steht dem Einsatz des electronic-cash-Verfahrens für Zahlungen über Online-Medien entgegen, dass dazu beim Händler installierte Kartenterminals verwendet werden müssen. Zwar wäre es technisch möglich, das Kartenlesegerät und die Tastatur vom Händlerterminal zu trennen und beim Kartenkunden zu installieren, jedoch steht dem entgegen, dass aus Sicherheitsgründen Tastatur und Terminal nicht an verschiedenen Orten aufgestellt werden dürfen. Wie bereits dargestellt, sind die Netzbetreiber, die eine Zulassung benötigen, für die Bereitstellung des erforderlichen electronic-cash-Netzwerks inklusive der Terminals verantwortlich. Gemäß Ziff. 9 der „Vereinbarung über ein institutsübergreifendes System zur bargeldlosen Zahlung an automatisierten Kassen (electronic-cashSystem)” ist Voraussetzung für das von der Kreditwirtschaft abgegebene Zahlungsversprechen, dass die eingesetzten electronic-cash-Terminals zugelassen und nach dem mit dem Netzbetreiber vereinbarten Verfahren betrieben werden. Würden die Eingabetastatur und das Kartenlesegerät beim Verbraucher installiert, wären diese nicht mehr Bestandteile des Terminals und könnten von der Kreditwirtschaft auch nicht abgenommen werden. Es könnte dann zum Einsatz von Geräten kommen, die nicht mehr der Kontrolle der deutschen Kreditwirtschaft unterliegen und den Sicherheitsanforderungen nicht genügen müssten. Aufgrund dessen ist unter Berücksichtigung der aktuellen Sicherheitsstruktur eine Trennung
211
Vgl. dazu Strube in Derleder/Knops/Bamberger, Handbuch zum deutschen und europäischen Bankrecht, § 39, Rn. 2.
82
5 Kartengestützter Zahlungsverkehr
des Kartenlesegerätes und der Eingabetastatur vom Händlerterminal nicht zulässig, so dass electronic-cash-Zahlungen nur unmittelbar bei den angeschlossenen Unternehmen vorgenommen werden können. Damit kommt jedoch ein Einsatz über Online-Medien nach der gegenwärtigen technischen Infrastruktur des electronic-cash-Verfahrens nicht in Betracht.
5.1.2
POZ-Verfahren über Online-Medien
Für das POZ-Verfahren – „POZ” steht für „Point of Sale ohne Zahlungsgarantie” – galt die am 01.02.1993 in Kraft getretene „Vereinbarung zum POZ-System”, das zwischen dem Bundesverband der deutschen Volksbanken und Raiffeisenbanken (BvR), dem Bundesverband deutscher Banken (BdB), dem Deutschen Sparkassenund Giroverband (DSGV) und dem Verband öffentlicher Banken (VÖB) abgeschlossen worden war und mit dem die Kreditwirtschaft das Ziel verfolgte, dem Handel eine preisgünstige Alternative zum electronic-cash-System anzubieten, bei dem die Zahlungen zwar garantiert sind, bei dem jedoch die Zahlungsgarantie auch zu vergüten ist. Das POZ-Verfahren war zwar preisgünstiger, gleichzeitig aber auch mit höheren Risiken verbunden.212 Die POZ-Vereinbarung regelte den Aufbau eines Systems zur Erstellung von Einziehungsermächtigungs-Lastschriften an automatisierten Kassen (POZ-Kassen), wobei die für die Generierung erforderlichen Daten aus dem Magnetstreifen einer zugelassenen Bank-Kundenkarte herausgelesen wurden. Bis zum 31.12.2001 beruhte das POZ-Verfahren auf der Eurocheque-Karte, da es diese jedoch in ihrer Funktion als Garantiekarte für den Eurocheque seit 31.12.2001 nicht mehr gibt, ist sie durch die ec-(im Sinne von „electronic-cash“)Karte genannte Karte ersetzt worden, die jedoch hinsichtlich des POZ-Zahlungsverfahrens die gleiche Funktion hatte, wie vormals die Eurocheque-Karte.213 Mit Hilfe der Kartendaten wurden Lastschriften generiert, die nach Unterzeichnung der Einziehungsermächtigung durch den Karteninhaber unter Einschaltung des Kreditinstituts des Händlers vom Konto des Karteninhabers eingezogen wurden. Da diese Zahlung – im Gegensatz zu einer Zahlung im electronic-cash-Verfahren 214- nicht garantiert war, fanden die Regelungen über das „normale” Einziehungsermächtigungs-Lastschriftverfahren Anwendung mit der Folge, dass den Lastschriften jederzeit widersprochen werden 212
Vgl. dazu Häde, ZBB 1994, 33 (41).
213
Vgl. zum Wegfall der ec-Garantie Werner, BKR 2002, 149; ders. in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1303 ff.
214
Zum Ablauf des electronic-cash-Verfahrens vgl. Gößmann in Bankrechts-Handbuch I., § 68 Rn. 1 ff; Harbeke, WM-Sonderbeilage 1/1994, 1 ff.; Kümpel, Bank- und Kapitalmarktrecht, Rn. 4.900 ff; Werner in Hellner/Steuer, Bankrecht und Bankpraxis, 6/1516 ff; Canaris, Bankvertragsrecht, Rn. 527cc und dd; Reiser, WM-Sonderbeilage 3/1989; Schwintowski/Schäfer, § 12 Rn. 9 ff.; Werner in Schwarz/Peschel-Mehner, Recht im Internet, Zivilrecht 2-A 2.2.2. Rn. 13; ders. in Hoeren/Sieber, Handbuch MultimediaRecht, Kap. 13.5 Rn. 5 ff.
5.1 Konventionelle Kartenverfahren im Internet
83
konnte, solange die entsprechenden Belastungen auf dem Konto des Schuldners nicht ausdrücklich genehmigt wurden.215 Diese Verfahren ist jedoch zum 31.12.2006 eingestellt wurden.
5.1.3
Das elektronische Lastschriftverfahren über Online-Medien
Das „elektronische Lastschriftverfahren (ELV)” ist ein elektronisch unterstütztes Lastschriftverfahren, bei dem zwar ebenfalls unter Einsatz einer BankkundenKarte bzw. ec-Karte auf elektronischem Wege eine Lastschrift generiert wird. Im Gegensatz jedoch zum POZ-Verfahren gibt es für das ELV-Verfahren kein spezielles Interbanken-Abkommen, das die Besonderheiten der elektronischen Generierung regelt. Es wird deshalb auch als „wildes Lastschriftverfahren” bezeichnet. Rechtsgrundlage dafür bildet allein das „Abkommen über den Lastschriftverkehr“, das jedoch keine speziellen Regelungen zu elektronisch generierten Lastschriften enthält. Das ELV-Verfahren unterscheidet sich zwar äußerlich kaum vom früheren POZVerfahren der deutschen Kreditwirtschaft, da hier ebenfalls sowohl eine Einziehungsermächtigung als auch eine Einwilligungserklärung des Zahlungspflichtigen eingeholt werden, jedoch gibt es keine Sperrdatei-Abfrage – wie beim früheren POZ-Verfahren –, weshalb das kartenemittierende Institut nicht verpflichtet ist, Name und Anschrift bekannt zu geben. Zwar wird durch die Einwilligungserklärung das Institut vom Bankgeheimnis entpflichtet, da es jedoch kein spezielles Interbankenabkommen gibt, durch das die kartenemittierenden Institute in irgendeiner Weise zu besonderen Maßnahmen im Zusammenhang mit dem elektronischen Einsatz verpflichtet werden könnten, sind die Kreditinstitute in diesem Verfahren nicht gehalten, aufgrund der Einwilligungserklärung Name und Anschrift ihres Kunden bekannt zu geben. Aufgrund dessen ist das ELV-Verfahren mit höheren Risiken als das normale POZ-Verfahren verbunden, es verursacht jedoch geringere Kosten, da die im früheren POZ-Verfahren obligatorische Sperrdateiabfrage, für die ein Entgelt berechnet wurde, nicht vorgesehen ist. Beim ELV-Verfahren handelt es sich um ein Lastschriftverfahren, bei dem lediglich eine Kundenkarte oder ec-Karte zur Erstellung von Einziehungsermächtigungen eingesetzt wird. Ein solches Verfahren kann deshalb über Online-Medien eingesetzt werden, sofern es möglich ist, Einziehungsermächtigungen darüber wirksam zu erteilen. Die Rechtsprobleme im Zusammenhang mit dem Einsatz des ELV-Verfahrens über Online-Medien unterscheiden sich deshalb im Grundsatz nicht von den Problemen im Zusammenhang mit dem Lastschriftverfahren über Online-Kanäle. Deshalb ist hinsichtlich der rechtlichen Problematik auf die Ausführungen im Kapitel zum Lastschriftverfahren über Online-Medien zu verweisen. 215
Zur Lastschriftproblematik vgl. OLG Dresden v. 28.06.1999 – 3963/98, WM 2000, 566=WuB I. D2.-2.00 Häuser, BGH v. 06.06.2000 – XI ZR 258/99, WM 2000, 1577 ff; van Gelder, WM 2000, 101; ders. in Bankrechts-Handbuch I., § 57 Rn. 31 ff; Krepold in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/473.
84
5 Kartengestützter Zahlungsverkehr
Im ELV-Verfahren käme lediglich noch hinzu, dass die Kartendaten mittels eines Kartenlesegeräts aus der Karte herausgelesen und zur Erstellung einer elektronischen Lastschrift verwendet würden. Da es hier jedoch keine Sperrdateiabfrage gibt, würde es sich lediglich um ein Verfahren zur technischen Unterstützung des Lastschriftverfahrens handeln, die nicht dazu führt, dass das ELV-Verfahren über Online-Medien rechtlich grundsätzlich anders zu beurteilen wäre als das „normale“ Einziehungsermächtigungs-Lastschriftverfahren.
5.2 Die GeldKarte im Internet Seit 1997 gibt es die von der deutschen Kreditwirtschaft eingeführte GeldKarte. Sie besteht aus einem Chip, der die Funktion einer elektronischen Geldbörse übernimmt, in den Geldwerteeinheiten eingeladen werden können.216 Die Zahlung erfolgt, in dem die auf dem Chip gespeicherten elektronischen Daten auf das Terminal des Empfängers übertragen werden. Eine solche Karte könnte unter Einsatz von Online-Medien verwendet werden, wenn mit Hilfe eines Chipkartenlesers die Zahlungsdaten aus der Karte herausgelesen und an den Empfänger weitergeleitet werden können. Für den Einsatz der Geldkarte im Internet spricht, dass sie für Kleinbetragszahlungen konzipiert wurde und die Zahlung grundsätzlich „offline”, also ohne Eingabe einer PIN oder einer Unterschrift erfolgt. Außerdem ist der Akzeptant der Zahlung nicht verpflichtet zu überprüfen, ob der Inhaber der Karte befugt ist, sie einzusetzen, da es sich dabei grundsätzlich um ein vom Inhaber unabhängiges Zahlungsmedium handelt.217 Für den Zahlungsempfänger ist jedoch die GeldKarten-Zahlung sicherer als eine Zahlung mittels Lastschrift, da im Fall einer positiven technischen Prüfung die Zahlung garantiert wird.218
5.2.1
Rechtsgrundlagen des GeldKarten-Verfahrens
Das GeldKarten-Verfahren beruht ebenso wie das electronic-cash-Verfahren auf einem Interbankenabkommen, der „Vereinbarung über das institutsübergreifende System GeldKarte”, zu dessen Bestandsteilen die „Bedingungen für die Teilnahme am System GeldKarte” sowie spezielle GeldKarten-Bedingungen, die in der Regel in die jetzigen Bankkunden- bzw. ec-Bedingungen integriert sind, gehören.
216
Zur GeldKarte vgl. Werner in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1660; Gößmann in Bankrechts-Handbuch I., § 68 Rn. 15 ff; Kümpel WM 1997, 1037; Pfeiffer, NJW 1997, 1036; Wand, Zahlung mittels elektronischer Geldbörse („GeldKarte“) in Hadding u. a., Kartengesteuerter Zahlungsverkehr, Schriftenreihe der bankrechtlichen Vereinigung Band 14, Berlin 1999, 97f; Kümpel, Bank- und Kapitalmarktrecht, Rn. 4.957 ff.
217
Vgl. dazu Werner in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1661.
218
Vgl. Werner in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1662.
5.2 Die GeldKarte im Internet
85
Bei der „Vereinbarung über das institutsübergreifende System GeldKarte” handelt es sich um ein Rahmenabkommen, das die Spitzenverbände der deutschen Kreditwirtschaft abgeschlossen haben und das die rechtlichen Grundlagen des GeldKarten-Systems festlegt. Die den Spitzenverbänden angeschlossenen Kreditinstitute sind über dieses Parteien des Abkommens. Die GeldKarten-Vereinbarung verpflichtet die dem Verfahren angehörenden Vertragspartner, ein institutsunabhängiges Verfahren zur bargeldlosen Zahlung von Waren und Dienstleistungen unter Einsatz einer Chipkarte an speziellen, für deren Akzeptanz eingerichteten Terminals zu schaffen. Das Abkommen enthält jedoch nicht nur juristische Regelungen, sondern auch die Festlegung technischer Standards für den Aufbau der Infrastruktur und der Sicherheitstechnologie. Außerdem musste eine Regelung über die Risikoverteilung getroffen werden.219 Während das Rahmenabkommen die Kreditinstitute bindet, sind Adressaten der „Bedingungen für die Teilnahme am System GeldKarte” die Unternehmen, deren Akzeptanzstellen am GeldKarten-Verfahren teilnehmen. In diesem Bedingungswerk werden die Teilnahmevoraussetzungen für die Unternehmen sowie die von diesen zu zahlenden Entgelten festgelegt. Die Teilnahmebedingungen legen außerdem die Voraussetzungen fest, unter denen ein Akzeptant die Zahlungen „garantiert“ bekommt.220 Die GeldKarten-Bedingungen wiederum regeln das Vertragsverhältnis zwischen den Banken, die GeldKarten ausgeben, und den Karteninhabern. Festgelegt werden in diesen in erster Linie die Voraussetzungen für den Karteneinsatz sowie die Rechte und Pflichten des die Karte ausgebenden Instituts und des Kunden. Außerdem findet sich in ihnen eine Haftungsregelung. Die drei vorstehend dargestellten Regelwerke legen die Rahmenbedingungen für das gesetzlich nicht geregelte System „GeldKarte“ fest. Zielsetzung ist es, ein institutsübergreifendes Zahlungssystem anzubieten, das durch entsprechende Regelwerke standardisiert ist. Da es für die GeldKarte keine gesetzlichen Regelungen gibt, wird mit den Bedingungswerken auch der Zweck verfolgt, juristische Unklarheiten zu vermeiden. Die GeldKarte existiert in einer kontogebundenen und einer kontoungebundenen Version. Während die kontogebundene Karte ausdrücklich dem Kontoinhaber zugeordnet ist und zu Lasten dessen Kontos aufgeladen werden kann, zeichnet sich die kontoungebundene dadurch aus, dass sie nicht auf einen Inhaber ausgestellt wird und folglich auch nicht (unmittelbar) zu Lasten eines zugeordneten Kontos aufgeladen werden kann. Das Aufladen der kontogebundenen GeldKarte erfolgt unter Einsatz einer PIN zu Lasten des Kontos des Karteninhabers, dessen Daten auf dem Chip gespeichert sind. Da die kontogebundene Karte in der Regel in eine ec-Karte integriert wird,
219
Vgl. Kümpel, WM 1997, 1037; Pfeiffer, NJW 1997, 1036.
220
Vgl. Werner in Hopt, Vertrags- und Formularbuch, IV. F 1 Anmerkung 12, 1003.
86
5 Kartengestützter Zahlungsverkehr
ist die zum Aufladen erforderliche PIN dieselbe, die auch zu Abhebungen an Geldautomaten oder zum Einsatz an electronic-cash-Terminals verwendet wird. Dagegen ist es nicht möglich, die kontoungebundene Karte unmittelbar unter Einsatz einer PIN zu Lasten eines bestimmten Kontos aufzuladen, da auf ihr keine einem bestimmten Konto zuzuordnende Daten gespeichert werden. Gleichwohl kann auch diese Karte ohne Verwendung von Bargeld aufgeladen werden, sofern eine weitere Karte, z. B. eine ec-Karte- oder Kreditkarte zusätzlich eingesetzt wird. In diesem Fall erfolgt eine Belastung des Kontos des Inhabers der zum Aufladen eingesetzten Karte und der Ladebetrag wird anschließend auf der Geldkarte verbucht. Für diese Form der Aufladung ist die Zwischenschaltung des Kontos des Inhabers der aufladenden Karte erforderlich. Die kontogebundene Karte kann im Übrigen aber auch zu Lasten der Karte eines Dritten aufgeladen werden. Die Aufladung zu Lasten des Kontos, auf das sie ausgestellt ist, ist nicht zwingend. Schließlich ist es an speziellen Terminals auch möglich, beide Karten gegen Bargeld aufzuladen. Dazu ist es erforderlich, Bargeld in den Automaten einzuführen, damit der entsprechende Gegenwert auf der Karte verbucht werden kann. Soll die elektronische Chipkarte zum Bezahlen eingesetzt werden, werden die elektronischen Einheiten, die dem zu zahlenden Geldbetrag entsprechen, vom Chip abgebucht. Dies erfolgt unter Einsatz eines beim Zahlungsempfänger aufgestellten Terminals, das mit der Chipkarte des Kunden kommuniziert. Dieses Terminal ist mit einer speziellen Software, der so genannten „Händlerkarte”, ausgestattet, die die Kontonummer des Akzeptanten sowie dessen Authentifikationsschlüssel enthält. Nach dem jeweiligen Kassenschluss werden die im Händlerterminal gespeicherten Einzelumsätze an eine Evidenz-Zentrale, die von der Bank des Händlers eingeschaltet wird, zur Einreichung der Umsätze weitergeleitet. Am Ende des Zahlungsvorgangs wird das Konto des Händlers mit den an ihn übertragenen Ladebeträgen erkannt, nachdem verschiedene Evidenz-Zentralen eingeschaltet wurden und das Börsenverrechnungskonto, auf das alle Ladebeträge eines kartenemittierenden Instituts gebucht werden, mit den entsprechenden GeldKarten-Umsätzen belastet worden ist. Im GeldKarten-Verfahren sind die verschiedenen Beteiligten durch unterschiedliche Rechtsgrundlagen miteinander verbunden. Die „Vereinbarung über das institutsübergreifende System GeldKarte” ist eine Rahmenvereinbarung zwischen den Verbänden der deutschen Kreditwirtschaft, durch die alle in diesen organisierten Kreditinstitute verpflichtet werden, das GeldKarten-System aufzubauen. Dieser mehrseitige Vertrag hat Bindungswirkung lediglich für die am GeldKarten-Verfahren beteiligten Institute und stellt die rechtliche und organisatorische Basis für das System dar. Die Rechtsbeziehungen im Außenverhältnis zu den GeldKarten-Inhabern und den Unternehmen, die GeldKartenzahlungen akzeptieren, werden dadurch jedoch nicht geregelt.221
221
Vgl. Werner in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1691 ff.
5.2 Die GeldKarte im Internet
87
Die „Bedingungen für die Teilnahme am System GeldKarte”, deren Inhalt durch die Rahmenvereinbarung zum GeldKarten-System vorgegeben wird und die dadurch inhaltlich nicht modifiziert werden können, regeln das Rechtsverhältnis zwischen den GeldKarten-Akzeptanten und der deutschen Kreditwirtschaft. Zwar werden diese Bedingungen durch ein Kreditinstitut, mit dem ein Händler kontrahieren muss, wenn er am GeldKarten-System teilnehmen will, oder einen Netzbetreiber, sofern das Institut selbst kein Netz betreibt, vermittelt, Vertragspartner ist jedoch nicht das entsprechende Kreditinstitut oder der Netzbetreiber, sondern die deutsche Kreditwirtschaft in ihrer Gesamtheit.222 Die Bedingungen legen die Voraussetzungen fest, die ein Akzeptant erfüllen muss, um am GeldKartenVerfahren teilnehmen zu können. Sie enthalten gleichzeitig aber auch die Zusage der deutschen Kreditwirtschaft, alle GeldKarten-Zahlungen zu vergüten, sofern eine GeldKarte von einem zugelassenen GeldKarten-Terminal akzeptiert wird.223 Gäbe es diese speziellen Händlerbedingungen nicht, wäre das Rechtsverhältnis im Hinblick auf den Anschluss an das Zahlungssystem unklar, insbesondere wäre dann zumindest nicht einheitlich und institutsübergreifend geregelt, unter welchen Voraussetzungen GeldKarten-Zahlungen akzeptiert werden müssen. Im Verhältnis zum Karteninhaber gelten besondere GeldKarten-Bedingungen, die meist in die ec-Karten-Bedingungen integriert sind. Sie regeln das Rechtsverhältnis zwischen dem die GeldKarte emittierenden Kreditinstitut und dem Kunden. Sie enthalten außerdem eine Servicebeschreibung mit der Erläuterung, dass mit dem Aufladen der Karte eine sofortige Kontobelastung erfolgt, eine Beschreibung des Zahlungsvorgangs sowie Regelungen zur Haftung beim Verlust einer aufgeladenen Karte und bei missbräuchlichen Aufladevorgängen.224
5.2.2
Die Geeignetheit des Zahlungsablaufs bei der GeldKarte für Zahlungen im Netz
Da es sich bei der GeldKarte um ein – zumindest, soweit es den Bezahlvorgang betrifft – anonymes und im Grundsatz übertragbares Zahlungsmedium handelt, ist sie für Zahlungen über Online-Medien im Grundsatz besonders geeignet, da der Kartenakzeptant nicht zu überprüfen braucht, ob der Zahlende auch tatsächlich berechtigt ist, die Karte zu verwenden. Zwar gibt es kontogebundene Karten, die auf einen Inhaber ausgestellt werden, doch ist in diesem Fall das Verbot, die Karte weiterzugeben, ein Reflex aus der Verbindung mit der ec-Karte. Dieses Verbot bezieht sich jedoch nicht auf die GeldKarten-Funktion, sondern auf die anderen, mit der Karte verbundenen Einsatzmöglichkeiten. Deshalb handelt es sich bei der GeldKarte grundsätzlich um ein karteninhaberunabhängiges und damit übertrag222
Vgl. Werner in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1726.
223
Vgl. Werner in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1729.
224
Zum Inhalt der GeldKarten-Bedingungen vgl. Werner in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1773 ff.
88
5 Kartengestützter Zahlungsverkehr
bares Zahlungsmedium, weshalb sie für Zahlungen im Fernabsatz geeignet ist, denn der Akzeptant hat darin kaum die Möglichkeit, die Berechtigung desjenigen, der die Karte verwendet, zu überprüfen. Darüber hinaus hat die GeldKarte für den Akzeptanten noch den weiteren Vorteil, dass er, wenn sie vom Händlerterminal (technisch) akzeptiert wird, die Zahlung garantiert erhält. Hinsichtlich der Einlösung steht sie deshalb Bargeld gleich, ist sogar insofern für den Händler mit geringeren Risiken verbunden, als er kein Fälschungsrisiko trägt. Schließlich ist sie auch in technischer Hinsicht für den Einsatz über OnlineMedien geeignet, da – wie bereits ausgeführt – die Zahlung grundsätzlich „offline”, das heißt ohne Einsatz eines speziellen Legitimationsmediums und ohne eine Unterschrift des Zahlungspflichtigen erfolgt. Außerdem werden an das Kartenlesegerät keine speziellen Sicherheitsanforderungen gestellt, so dass es möglich ist, die Kartendaten allein unter Einsatz eines beim Zahlungspflichtigen befindlichen Chipkartenlesers aus der Karte heraus zu lesen und an den Händler zu übertragen.
5.2.3
GeldKarte und Risikoverteilung
Die GeldKarte unterscheidet sich von anderen Kartenarten, insbesondere der ecKarte oder einer Kreditkarte, dadurch, dass bei ihr die Kontobelastung vor dem eigentlichen Einsatz der Karte erfolgt, während bei den bezeichneten Karten das Konto erst nach dem Karteneinsatz belastet wird. Der Karteninhaber tritt folglich gegenüber seiner Bank praktisch in Vorlage. Der dem Konto des Karteninhabers beim Aufladen der GeldKarte belastete Betrag wird einem Börsenverrechnungskonto, das beim kartenemittierenden Institut als eigenes Konto geführt wird, gutgeschrieben. Der Karteninhaber zahlt deshalb den Ladebetrag, der in die Karte eingeladen wird, an seine Bank im Voraus. Durch Abbuchen der Werteinheiten, die auf die Karte aufgeladen wurden, kann der Karteninhaber bei nachfolgenden Transaktionen Zahlungen vornehmen. Um die Werteinheiten von der Karte „abladen” zu können, benötigt der Akzeptant spezielle Terminals, die jedoch „offline” arbeiten, d. h., um mittels der Karte zahlen zu können, sind weder die Eingabe einer PIN noch die Verwendung eines elektronischen Identifikations- oder Legitimationsmediums oder die eigenhändige Unterschrift erforderlich. Die als „Weiße Karte” bezeichnete kontoungebunde Karte ist vollständig anonym, da der Akzeptant nicht erkennen kann, wer ihr Inhaber ist. Die kontogebundene Karte enthält zwar den aufgeprägten Namen des Kontoinhabers, jedoch ist dieser für den Zahlungsvorgang selbst irrelevant, da der Zahlungsempfänger nicht überprüfen muss, ob der tatsächliche Karteninhaber mit dem angegebenen identisch ist. Voraussetzung dafür, dass der Akzeptant den zu zahlenden Betrag garantiert erhält, ist lediglich, dass der technische Bezahlvorgang problemlos verläuft.225 225
Vgl. Werner in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1686.
5.2 Die GeldKarte im Internet
89
Diese „Garantie“ folgt aus den „Bedingungen für die Teilnahme am System GeldKarte“, die im Namen der deutschen Kreditwirtschaft mit jedem Akzeptanten einer GeldKarte vereinbart werden. Es heißt dort unter Ziff. 4: „Mit Abschluss eines ordnungsgemäßen Bezahlvorgangs mittels GeldKarte an zugelassenen GeldKarten-Terminals erwirbt das Unternehmen eine Garantie gegen das kartenausgebende Kreditinstitut in Höhe des getätigten Umsatzes.” Der Händler, der GeldKarten-Zahlungen akzeptiert, reicht die aus den einzelnen Transaktionen resultierenden Umsätze in aggregierter Form bei seinem Kreditinstitut oder einer von diesem eingeschalteten Evidenzzentrale zum Einzug ein. Die erforderlichen Daten werden für die Einleitung des Zahlungsvorgangs aufbereitet und daran anschließend die Umsätze zur Belastung der Börsenverrechnungskonten jeweils an das Kreditinstitut weitergeleitet, das die Karten ausgegeben hat, mit denen die entsprechenden Umsätze generiert worden sind. Die Verrechnung erfolgt jedoch nur in aggregierten Summen je Händler- und Börsenverrechnungskonto mit der Folge, dass der Kartenakzeptant seine Umsätze in einer Summe erhält, während die einzelnen Börsenverrechnungskonten ebenfalls nur mit einer Summe belastet werden. Dadurch wird die Buchung von Einzelumsätzen vermieden. Sollte es möglich sein, eine GeldKarte so zu fälschen, dass das Händlerterminal sie akzeptiert, erhält der Händler aufgrund der oben zitierten Regelung in den „Bedingungen für die Teilnahme am System GeldKarte“ den Zahlungsbetrag gleichwohl garantiert und trägt folglich nicht das Fälschungsrisiko, falls das Terminal eine eventuelle Fälschung nicht feststellen sollte. Bezüglich des Aufladevorgangs ist, auch was die Risikolage anbetrifft, zwischen kontogebundenen und kontoungebundenen Karten zu unterscheiden. Die kontogebundene Karte wird auf einen Inhaber ausgestellt. Im Mikroprozessor des Chips werden die Daten des Kontos des Karteninhabers sowie des Börsenverrechnungskontos der kartenausgebenden Bank gespeichert. Dadurch ist es möglich, die GeldKarte zulasten des angegebenen Kontos an einem Ladeterminal aufzuladen. Der Aufladevorgang verläuft analog zur Abhebung von Bargeld an Geldautomaten. Nach Eingabe der PIN und des Ladebetrags werden das Konto des Karteninhabers belastet und die entsprechenden Werteinheiten auf die Karte aufgebucht. Wie bereits ausgeführt, können die Kreditinstitute auch kontoungebundene Karten mit GeldKartenfunktion ausgeben. Diese unterscheiden sich von den kontogebundenen Karten dadurch, dass im Chip nicht die Kontendaten des Karteninhabers gespeichert werden, sondern nur die des Börsenverrechnungskontos des kartenausgebenden Instituts zur Verbuchung der Ladebeträge. Da diese Karten keinem Konto zugeordnet sind, können sie auch nicht ohne Zwischenschaltung einer weiteren Karte zu Lasten eines Kontos aufgeladen werden. Möglich ist jedoch, sie gegen Bargeld an speziellen Automaten oder unter Einsatz einer anderen
90
5 Kartengestützter Zahlungsverkehr
Karte zu Lasten des Kontos aufzuladen, auf das diese Karte aufgestellt ist. Wird das Konto zu Lasten einer anderen Karte, bei der es sich jedoch aus technischen Gründen nicht um eine GeldKarte handeln kann, aufgeladen, wird der Ladebetrag von dem Konto, auf das die entsprechende Karte bezogen ist, abgehoben, auf das Börsenverrechnungskonto des die GeldKarte emittierenden Kreditinstituts übertragen und die entsprechenden Werteinheiten in die Karte des GeldKarten-Inhabers umgebucht. Kontogebundene und kontoungebundene Karten können jeweils nur mit einem Maximalbetrag aufgeladen werden, der von einem Arbeitsstab, der sich aus Mitgliedern der am System beteiligten Kreditinstitute zusammensetzt, festgelegt wird. Der derzeitige maximale Ladebetrag beträgt 200,00 Euro. Aufgeladen werden kann die Karte auf verschiedenen Wegen: Zunächst kann die kontogebundene GeldKarte zu Lasten eines Kontos aufgeladen werden, auf das die Karte ausgestellt ist. Dazu ist es erforderlich, die PIN einzugeben, so dass innerhalb des dem Kontoinhaber eingeräumten Verfügungsrahmens Aufladungen erfolgen können. Die Eingabe der PIN ist erforderlich, da der Ladevorgang autorisiert werden muss. Sowohl die kontogebundenen als auch die kontoungebundenen Karten können gegen Bargeld aufgeladen werden. Dazu sind spezielle Terminals erforderlich, in die Geldscheine eingegeben werden können, deren Gegenwert dann dem Börsenverrechnungskonto des kartenemittierenden Instituts gutgeschrieben wird. Diesem Betrag entsprechende Werteinheiten werden in die Karte eingebucht. Schließlich besteht die Möglichkeit, beide Kartenformen zu Lasten einer zweiten Karte – einer ec- oder Kreditkarte – aufzuladen. In diesem Fall wird das Konto des Inhabers der zweiten Karte mit dem Aufladebetrag belastet, der wiederum dem Börsenverrechnungskonto des die Geldkarte emittierenden Kreditinstituts gutgeschrieben wird. Auch hier wird der entsprechende Gegenwert auf die Karte gebucht. Beim Aufladen der GeldKarte unter Verwendung einer zweiten Karte ist immer die Zwischenschaltung eines Kontos erforderlich. Deshalb ist es auch nicht möglich, eine GeldKarte unmittelbar zu Lasten einer anderen GeldKarte aufzuladen. Da es sich beim GeldKarten-Geschäft um ein erlaubnispflichtiges Bankgeschäft gem. § 1 Abs. 1 Nr. 11 KWG handelt, legt die „Vereinbarung über das institutsübergreifende System GeldKarte“ auch fest, dass Ladeterminals nur von Kreditinstituten aufgestellt und betrieben werden dürfen. Allerdings wird mit dieser Regelung nicht nur der Zweck verfolgt, den Anforderungen des KWG zu genügen, sondern auch dafür Sorge zu tragen, dass kein kaum noch kontrollierbarer, in sich geschlossener Kreislauf mit elektronischem Geld entsteht.226 Die dem Verfahren angeschlossenen Kreditinstitute sind verpflichtet, ihre Terminals allen GeldKarten-Inhabern zum Aufladen der GeldKarte zur Verfügung zu stellen. Dadurch soll sichergestellt werden, dass es sich beim GeldKarten-Service um eine institutsunabhängige Dienstleistung handelt. Gem. Nr. 10 der „Vereinbarung über das institutsübergreifende System GeldKarte” sind die Kreditinstitute, die Ladeterminals betreiben, berechtigt, anderen Kreditinstituten, die den Lade226
Vgl. Gramlich, CR 1997, 11.
5.2 Die GeldKarte im Internet
91
vorgang autorisieren, ein Entgelt für das Zurverfügungstellen des Ladeservices zu berechnen. Dieses Entgelt wird nicht unmittelbar dem Karteninhaber, sondern dessen Kreditinstitut berechnet, das diese Beträge wiederum als Aufwendungsersatzanspruch gem. § 670 BGB durch Belastung des Kontos, auf das die GeldKarte ausgestellt ist, geltend machen kann. Dieser konkrete Betrag wird nicht im Preisverzeichnis das eine GeldKarte ausgebenden Kreditinstituts angegeben, da es sich nicht um ein Entgelt für eine Bankdienstleistung, sondern um einen Aufwendungsersatzanspruch handelt, der von jedem Institut individuell berechnet wird. Da jedoch in der GeldKarten-Vereinbarung die Maximalhöhe eines solchen Betrages festgelegt wird, ist das kartenemittierende Institut verpflichtet, im Preisaushang oder Preisverzeichnis zumindest auf das maximal zulässige Entgelt für die Kartenaufladung bei Fremdinstituten hinzuweisen.227 Wird eine GeldKarte zum Bezahlen eingesetzt, werden die gespeicherten Werteinheiten um den Betrag vermindert, über den der Karteninhaber verfügt hat. Möglich ist dies allerdings nur, wenn der Kartenakzeptant über ein entsprechendes Terminal verfügt, das die Kommunikation mit der Kundenkarte erlaubt. Der Händler benötigt dazu eine spezielle Software, die den Authentifikationsschlüssel sowie Angaben seiner Kontoverbindung enthält, über die die GeldKarten-Umsätze abgewickelt werden sollen. Jeweils nach Kassenabschluss werden die im Händlerterminal gespeicherten Einzelumsätze an eine von dessen Bank zwischengeschaltete Evidenzzentrale weitergeleitet, die die Daten aufbereitet und die einzelnen Beträge geordnet nach Bankleitzahlen und Kontonummern unter Einschaltung eines Kreditinstitutes mittels einer (technischen) Lastschrift von den Börsenverrechnungskonten der kartenemittierenden Institute einzieht. Der Händler, der GeldKarten akzeptiert, erhält auf seinem Konto eine Gutschrift über die Gesamtsumme aller von ihm innerhalb des Abrechnungszeitraums eingenommenen GeldKartenUmsätze. Die Vertragsbedingungen, die der Ausgabe der beiden Versionen der Geldkarte zugrunde liegen, sind unterschiedlich. Die kontoungebundene Karte wird ausgegeben, ohne dass besondere Bedingungen vereinbart werden, denn sie ist übertragbar, weshalb es kaum möglich ist, den jeweiligen Karteninhaber zu verpflichten, die im Zusammenhang mit der Karte vereinbarten Bedingungen an seinen Rechtsnachfolger weiterzugeben. Außerdem kann diese Karte nicht direkt zu Lasten eines Kontos unter Einsatz einer PIN aufgeladen werden, weshalb es nicht erforderlich ist, besondere Sorgfaltspflichten, wie sie sich insbesondere aus dem Aufladevorgang ergeben können, festzulegen. Für die kontogebundene Karte ist es dagegen erforderlich, in Sonderbedingungen festzulegen, welche Sorgfaltsanforderungen insbesondere im Zusammenhang mit dem Ladevorgang eingehalten werden müssen, da das Aufladen unter Einsatz der zur Karte ausgegebenen PIN erfolgt. Aufgrund dessen enthalten die GeldKar-
227
Vgl. dazu Gelberg, GewArch 1994, 54; LG Darmstadt v. 23.08.1996 – 15 O 271/96, WM 1997, 62; Werner in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1496.
92
5 Kartengestützter Zahlungsverkehr
ten-Bedingungen in Analogie zur Abhebung an Geldautomaten besondere Sorgfaltspflichten für den Einsatz der PIN. Die Eingabe der PIN ist erforderlich, da der Aufladevorgang bei der kontogebundenen Karte grundsätzlich „online” erfolgt, d. h., die zuständige Autorisierungszentrale prüft zunächst die Kartendaten und den gewünschten Ladebetrag. Die Autorisierung erfolgt entweder durch das die Karte ausgebende Institut oder eine von diesem beauftragten Autorisierungszentrale. Im Rahmen des Autorisierungsvorgangs wird auch überprüft, ob die Karte gesperrt ist und ob der vom Karteninhaber eingegebene Ladebetrag noch innerhalb des Verfügungsrahmens liegt. Dabei handelt es sich nicht um einen besonderen GeldKarten-Verfügungsrahmen, sondern um den allgemein für das entsprechende Konto eingeräumten. Erfolgt die Aufladung der GeldKarte zu Lasten des Kontos des Karteninhabers, wird dessen Konto, da er zur Zahlung verpflichtet ist, mit dem Ladebetrag belastet. Es handelt sich dabei um die Gewährung eines Vorschusses an das Kreditinstitut, da dieses sich beim Aufladen der GeldKarte noch nicht des Ladebetrags begibt.228 Zum Teil wird in dem Aufladevorgang ein Forderungskauf gesehen.229 Dies wird damit begründet, dass mit dessen Abschluss der Aufladebetrag aus dem Vermögen des Karteninhabers ausscheidet und er stattdessen eine Forderung gegen das die Karte ausgebende Institut erwirbt. Danach würde mit Abschluss des Bezahlvorgangs der Händler eine Forderung erwerben, die er aus eigenem Recht und unabhängig von der Weisung des GeldKarten-Inhabers gegenüber der die Karte emittierenden Bank geltend machen könnte. Dennoch ist die Rechtsfigur des Forderungskaufs nicht geeignet, den Ladevorgang rechtlich abschließend zu erklären, denn beim Ablauf des Aufladevorgangs würde der Kunde keine bereits bestehende Forderung erwerben, sondern diese würde mit dem Ladevorgang selbst erst begründet. Der Aufladevorgang ist deshalb eher dahingehend zu verstehen, dass sich die Bank durch das Aufladen der Karte mit einem Geldbetrag gegenüber dem Karteninhaber verpflichtet, auf dessen Weisung einem Zahlungsempfänger den in die Karte eingebuchten Betrag oder einen Teilbetrag davon zu bezahlen. Dieser Ablauf ist jedoch einfacher über die Konstruktion der Anweisung innerhalb eines bereits bestehenden Geschäftsbesorgungsvertrags als über den Forderungskauf zu erklären. Deshalb ist in der Kontobelastung beim Aufladevorgang kein Forderungskauf sondern die Geltendmachung eines Vorschusses durch das Kreditinstitut zu sehen.230 Schließlich wäre der rechtliche Ansatz des Forderungskaufs auch nicht geeignet zu erklären, weshalb nach den Bankkundenkartenbedingungen der Geldkarten-Inhaber das Risiko des Kartenverlustes selbst dann zu tragen hat, wenn ihn kein Verschulden daran trifft, denn Forderungen können nicht „verloren
228
Vgl. dazu Gößmann in Bankrechts-Handbuch I., § 68 Rn. 24; Kümpel, WM 1997, 1037 (1038).
229
Vgl. Groß in FS-Schimansky 1999, 165 (169).
230
Vgl. Gößmann in Bankrechts-Handbuch I., § 68 Rn. 24; Kümpel, WM 1997, 1037 (1038).
5.2 Die GeldKarte im Internet
93
gehen“.231 Da die in die Karte eingeladenen Beträge beim Zahlvorgang dem Börsenverrechnungskonto des kartenemittierenden Instituts, bei dem es sich um ein Poolkonto handelt, gutgeschrieben werden,232 hat der Karteninhaber einen Erstattungsanspruch auch dann, wenn der Geldkarten-Chip funktionsuntüchtig ist. Es handelt sich dann um die Rückerstattung eines geleisteten Vorschusses, der nicht mehr zum Aufwendungsersatzanspruch erstarken kann. Sollte der Chip so stark beschädigt sein, dass der eingeladene Betrag nicht mehr herausgelesen werden kann, ist die Ermittlung des vorhandenen Restbetrags über ein der Karte zugeordnetes Schattensaldokonto möglich. Auch diese Erstattungsmöglichkeit widerspricht nicht der Anweisungskonstruktion, denn mit einer Beschädigung des Chips ist die Weisung nicht mehr ausführbar, so dass – wie bereits ausgeführt – der Vorschuss nicht mehr zum Aufwendungsersatzanspruch gem. § 670 BGB erstarken kann und deshalb zurückzugeben ist. Sollte die GeldKarte verloren gehen, trägt der Karteninhaber das Verlustrisiko, denn solange nicht endgültig feststeht, dass die Karte nicht mehr eingesetzt werden kann, muss das kartenemittierende Institut damit rechnen, dass es aufgrund eines Einsatzes der Karte Zahlungen erbringen muss. Die Verteilung des Verlustrisikos erfolgt deshalb in ähnlicher Weise, wie sich dies für Bargeld ergibt. Auch hier hat der Eigentümer entsprechender Scheine oder Münzen das Verlustrisiko zu tragen. Unter Berücksichtigung, dass die GeldKarte als Bargeldsurrogat gedacht ist,233 ist es nur angemessen, wenn der Karteninhaber das Verlustrisiko zu tragen hat. Da Nr. 4 der Händlerbedingungen dem Händler eine „Garantie” für den Fall einräumt, dass die Karte von einem GeldKarten-Terminal akzeptiert wird, ist folglich ein Widerruf der GeldKarten-Zahlung ausgeschlossen. Auch wenn sich das technische Verfahren bei der GeldKarte von der im electronic-cash-Verfahren unterscheidet, entspricht die Regelung in Nr. 4 der Händler-Bedingungen bei der GeldKarte der entsprechenden Bestimmung im electronic-cash-Verfahren. Weiterhin ist vorgesehen, dass mit einer Autorisierung des Zahlungsvorgangs der Händler gegenüber dem kartenausgebenden Institut einen Anspruch in Höhe des getätigten Umsatzes erwirbt.234 Allerdings muss der Kartenakzeptant für die Garantie ein Entgelt in Höhe von 0,3 % des Umsatzes an das kartenemittierende Institut bezahlen. Die Verteilung dieses Entgelts auf die Banken, denen der Anspruch zusteht, erfolgt unter Einschaltung der verschiedenen Evidenzzentralen. Damit ein Unternehmen am GeldKarten-Zahlungsverfahren teilnehmen kann, muss es die Händlerbedingungen akzeptieren. Dies erfolgt unter Einschaltung seines Kreditinstituts, das den Abschluss der „Bedingungen zur Teilnahme am 231
Vgl. dazu Werner in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1757.
232
Vgl. dazu Gößmann in Bankrechts-Handbuch I., § 68 Rn. 17f.
233
Vgl. dazu Gößmann in Bankrechts-Handbuch I., § 68 Rn. 20.
234
Zum electronic-cash-Verfahren vgl. Häde, ZBB 1994, 41; Harbeke, WM-Sonderbeilage Nr. 1/1994, 8; Reiser, WM-Sonderbeilage Nr. 3/1989, 8.
94
5 Kartengestützter Zahlungsverkehr
System GeldKarte“ vermittelt.235 Im GeldKarten-Zahlungsverfahren ist jedoch der Abschluss eines Vertrages mit einem Netzbetreiber bzw. Konzentrator, wie dies im electronic-cash-Verfahren erforderlich ist, nicht vorgesehen, denn der Zahlungsvorgang erfolgt grundsätzlich „offline”, d. h., es findet keine Autorisierung durch eine Autorisierungszentrale statt. Die Teilnahme am GeldKarten-Verfahren erfordert nur ein Terminal, das vom Zentralen Kreditausschuss zugelassen worden sein muss. Außerdem benötigt der Händler zu dessen Betrieb eine so genannte „Händler-Karte“, bei der es sich um eine spezielle Software handelt, die neben dem Authentifikationsschlüssel der Kreditwirtschaft für die Kommunikation mit den GeldKarten auch die Nummer des Kontos des Händlers enthält, dem die mit der GeldKarte getätigten Umsätze gutgeschrieben werden sollen. Ebenso wie das electronic-cash-Verfahren beruht das GeldKarten-Verfahren ausschließlich auf Vertragswerken und ist nicht gesetzlich geregelt. Rechtliche Grundlage des Verfahrens ist die „Vereinbarung über das institutsübergreifende System „GeldKarte”. Daneben gibt es noch die „Bedingungen für die Teilnahme am System GeldKarte”, die mit den Kartenakzeptanten abzuschließen sind, sowie die GeldKarten-Bedingungen, die in die, ec-Bedingungen integriert sind.236 Die drei dargestellten Regelwerke bilden die rechtliche Grundlage für das System „GeldKarte” und schaffen einheitliche rechtliche Rahmenbedingungen. Außerdem sollen sie, da es sich beim System „GeldKarte“ um ein nicht gesetzlich geregeltes Zahlungsverkehrsinstrument handelt, auch juristische Unklarheiten verhindern, zumal es für dieses Zahlungsinstrument keinen einheitlichen und in sich geschlossenen juristischen Erklärungsansatz gibt.237 Am ehesten dürfte die GeldKarten-Zahlung unter Heranziehung der Grundsätze zur girovertraglichen Weisung erklärbar sein, die mit einer Garantie bzw. einem Schuldversprechen gem. § 780 BGB verbunden ist.238 Danach wäre zunächst ein Geschäftsbesorgungsvertrag zwischen dem Herausgeber der GeldKarte und dem Karteninhaber erforderlich. Unter Berücksichtigung, dass die kontogebundene Karte ein Konto voraussetzt, über das Zahlungen abgewickelt werden können, ist ein Girovertrag zwischen dem Karteninhaber und der kartenausgebenden Bank erforderlich, zu dessen Bestandteilen die besonderen Vereinbarungen zur GeldKarten-Zahlung 235
Abgedruckt in: Werner in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1725 ff.
236
Vgl. die neuen Bedingungen, die an die Stelle der bisherigen ec-Bedingungen getreten sind: Werner in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/ec/VI., 1 ff; „Vereinbarung über das institutsübergreifende System „GeldKarte“ sowie die „Bedingungen für die Teilnahme am System GeldKarte“ sind abgedruckt in: Werner in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1694 ff.
237
Die verschiedenen Erklärungsansätze sind dargestellt in Gößmann in BankrechtsHandbuch I., § 68, Rn. 24; Werner in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1756 ff; Pfeiffer, NJW 1997, 1036; Escher, WM 1997, (1137) 1181; Kümpel, WM 1997, 1037 (1038).
238
Vgl. dazu Kümpel, WM 1997, 1037 (1038); Gößmann in Bankrechts-Handbuch I, § 68 Rn. 29.
5.2 Die GeldKarte im Internet
95
gehören. Deshalb liegt die Voraussetzung des Bestehens eines Geschäftsbesorgungsvertrags in einem solchen Fall vor, denn dieser ist entweder bereits aufgrund des Girovertrags oder durch die Sondervereinbarung der GeldKartenBedingungen gegeben.239 Ausgehend von dieser Konstruktion ist in dem Einsatz der Karte die Erteilung einer Weisung gem. §§ 675, 666 BGB an den Kartenemittenten im Rahmen eines Geschäftsbesorgungsvertrags zu sehen, den entsprechenden Geldbetrag dem jeweiligen Zahlungsempfänger zugute kommen zu lassen.240 Diese Weisung muss das kartenemittierende Institut aufgrund des bestehenden Girovertrags auch ausführen, solange die für die Ausführung erforderlichen Voraussetzungen vorliegen. Im konkreten Fall bedeutet dies, der zu zahlende Betrag muss auf der GeldKarte noch vorhanden sein. Mit Ausführung der Weisung erstarkt der mit der Belastung des Kontos des Karteninhabers geltend gemachte Anspruch auf Vorschuss zum Aufwendungsersatzanspruch gem. §§ 675, 670 BGB. Um die GeldKarten-Zahlung einer Zahlung mit Bargeld gleichzustellen und um den Händler vom Risiko der Unwirksamkeit einer Weisung zu entlasten, gibt das kartenemittierende Institut eine Garantie bzw. ein Schuldversprechen gem. § 780 BGB ab, im Falle der technischen Akzeptanz die übertragenen Werteinheiten in Buchgeld einzulösen. Folglich ist das Institut, das die GeldKarte herausgegeben hat, aufgrund dieses Schuldversprechens auch dann zur Leistung verpflichtet, wenn eine ge- oder verfälschte oder entwendete GeldKarte eingesetzt wird. Zwar können Fälscher und Kartendiebe das Schuldversprechen nicht als Vertreter der Bank vermitteln, jedoch ist die Verpflichtung auch in diesem Fall entweder unter Rechtsscheingesichtspunkten oder einer ausnahmsweise gerechtfertigten verschuldensunabhängigen Haftung begründbar.241 Verwendet ein unbefugter Dritter eine GeldKarte, ist die Weisung an das kartenemittierende Institut, die Zahlung vorzunehmen, dem GeldKarten-Inhaber nicht zurechenbar, da er keinen entsprechenden rechtsgeschäftlichen Willen geäußert hat, jedoch muss er das Verlustrisiko tragen, da die GeldKarte ein Bargeldsurrogat darstellt und ihr damit hinsichtlich der Risikolage physischem Geld gleichzustellen ist. Aufgrund dessen sieht Abschnitt III. Nr. 2.5 der ecKarten-Bedingungen hinsichtlich des Verlustrisikos vor, dass der GeldKartenInhaber das Missbrauchsrisiko zu tragen hat. Im Ergebnis deckt sich dieses Ergebnis mit den Ansätzen, die die GeldKarte einem Wertpapier oder Legitimationspapier gleichstellen wollen.242
239
Vgl. Wand in Hadding, Kartengesteuerter Zahlungsverkehr, Berlin 1999, 97 (124); Kümpel, WM 1997, 1036 (1038).
240
Vgl. Kümpel, WM 1997, 1037 (1039); Gößmann in Bankrechts-Handbuch I., Rn. 29.
241
Vgl. Kümpel, WM 1997, 1032 (1042f).
242
Vgl. Pfeiffer, NJW 1997, 1036 (1039); Escher, WM 1997, 1181.
96
5 Kartengestützter Zahlungsverkehr
In einer solchen Risikoverteilung ist keine unzulässige verschuldensunabhängige Sphärenhaftung243 zu sehen, denn es handelt sich dabei um keine gem. § 307 Abs. 2 BGB unangemessene Benachteiligung. Zunächst ist das wirtschaftliche Risiko durch den maximalen Ladebetrag von derzeit 200,00 Euro auf einen relativ niedrigen Betrag begrenzt. Schließlich kann der Inhaber das maximale Verlustrisiko auch dadurch steuern, dass er den Ladebetrag nicht ausschöpft.244 Hinsichtlich des Aufladevorganges gelten jedoch andere Regeln, die sich hinsichtlich der Risikoverteilung an die Bedingungen über die Abhebungen an Geldautomaten bzw. den Einsatz einer ec-Karte an automatisierten Kassen anlehnen. Sollte es zu einer missbräuchlichen Aufladung einer GeldKarte kommen, hat der GeldKarteninhaber für den darauf zurückzuführenden Schaden gem. Abschnitt III. Ziff. 2.6 der ec-Bedingungen nur einzustehen, wenn er schuldhaft zu diesem Missbrauch beigetragen hat. Bezüglich des Aufladevorgangs gilt folglich das Verschuldensprinzip. Allerdings erlaubt der Ansatz der girovertraglichen Weisung keine ab- geschlossene schlüssige juristische Erklärung der „weißen Karte”, d. h. einer GeldKarte, die keinem Konto zugeordnet wird. In diesem Fall gibt es in der Regel zwischen dem Karteninhaber und dem Kartenemittenten keinen Geschäftsbesorgungsvertrag, aufgrund dessen die Karte ausgegeben wird und folglich auch Weisungen erteilt werden können. Gleichwohl steht die weiße Karte dem geschäftsbesorgungsrechtlichen Ansatz nicht entgegen. Vielmehr ließe sie sich damit erklären, dass der Ersterwerber einer solchen Karte mit dem Karteninstitut einen Vertrag abschließt, aus dem sich ergibt, dass die durch den Karteneinsatz erteilten Weisungen unabhängig davon auszuführen sind, vom wem sie erteilt werden. Die Ausgabe der GeldKarte wäre dann gleichzeitig auch als Angebot der die Karte herausgebenden Bank anzusehen, mit jedem Inhaber einen Geschäftsbesorgungsvertrag abzuschließen, der durch die Inanspruchnahme der mit der Karte verbundenen Leistungen konkludent abgeschlossen wird. Insofern fügt sich auch die „weiße Karte” in den Erklärungsansatz über die girovertragliche Weisung ein.
5.2.4
Anpassungserfordernisse
Die GeldKarte ist zwar nicht als Zahlungsverkehrsinstrument für FernabsatzMedien konzipiert worden, gleichwohl ist es möglich, sie für entsprechende Zahlungen darüber einzusetzen. Der GeldKarten-Inhaber benötigt dazu lediglich einen Chipkarten-Leser, mit dessen Hilfe es ihm möglich ist, die GeldKarten-Werteinheiten über das Internet an den Händler weiterzuleiten, der über ein entspre243
Vgl. dazu: BGH v. 23.04.1991 – XI ZR 128/90, WM 1991, 1110 = WuB I. D5.7.91 Fevers.
244
Vgl. dazu Pfeiffer, NJW 1997, 1036 (1039); Gößmann in Bankrechts-Handbuch I., § 68 Rn. 33.
5.3 Die Kreditkarte im Internet
97
chendes Händlerterminal sowie die Händlerkarte verfügt. Da an den Chipkartenleser keine besonderen sicherheitstechnischen Anforderungen zu stellen sind und die GeldKarten-Zahlungen „offline”, also ohne Anbindung an eine Autorisierungszentrale, erfolgen, ist es möglich, den Chipkarten-Leser vom Händlerterminal zu trennen. Da weiterhin der Händler die Legitimation des Chipkarten-Inhabers nicht überprüfen muss und das kartenemittierende Institut die Zahlung mittels Chipkarte allein unter der Voraussetzung garantiert, dass der Zahlungsvorgang technisch einwandfrei funktioniert, ist das GeldKarten-Verfahren für den Einsatz über Fernkommunikations-Medien geeignet, denn weder der Händler noch der Karteninhaber haben unvertretbare zusätzliche Risiken zu tragen, da die Risikolage beim Einsatz über entsprechende Medien nicht erhöht wird. Das GeldKarten-Verfahren hat für Zahlungen über Fernkommunikations-Medien den Vorteil, dass diese unmittelbar vor oder nach Inanspruchnahme einer Dienstleistung oder Bestellung einer Ware vorgenommen werden können. Mit Übertragung der Werteinheiten erhält der Händler einen Anspruch gegen das die GeldKarte ausgebende Institut in Höhe des Ladebetrages, unabhängig davon, ob der Karteninhaber zu Recht oder zu Unrecht im Namen des (berechtigten) Karteninhabers verfügt hat. Bei der anonymen, „weißen Karte” stellt sich dieses Problem dagegen nicht, da sie niemanden persönlich zugeordnet wird. Weiterhin ist es aufgrund der schnellen Übertragung der Daten möglich, eine spezifische elektronische Dienstleistung in unmittelbarer zeitlicher Nähe zur Zahlung zu erbringen, ohne dass der Händler das Einlösungsrisiko der Werteinheiten zu tragen hätte. Der Karteninhaber wird jedoch nicht vom Risiko befreit, eine Zahlung im voraus zu erbringen und danach die angeforderte Dienstleistung oder bestellte Ware nicht zu erhalten, denn es gibt – ähnlich wie bei der Barzahlung – keine Widerrufsmöglichkeit der Zahlung. Die GeldKarte ist zwischenzeitlich für Zahlungen über das Netz zugelassen worden, zumal dazu nur geringe technische Modifikationen erforderlich sind. Es genügt, wenn das Chipkarten-Lesegerät nicht beim Händler, sondern beim Verbraucher installiert wird und von dessen PC die Daten an den Händler übertragen werden.
5.3 Die Kreditkarte im Internet 5.3.1
Das Mail-Order- / Telephone-Order-Verfahren als Basis des Internet-Zahlungsverkehrs mittels Kreditkarte
In der Regel sehen die Kreditkarten-Bedingungen – wie zum Beispiel Nr. 3 der Bedingungen für die Eurocard – vor, dass mittels Karte dadurch bezahlt werden kann, dass die Kartennummer zusammen mit dem Verfallsdatum dem Empfänger einer Zahlung übermittelt wird. Es ist auf diese Weise möglich, mit Kreditkarte
98
5 Kartengestützter Zahlungsverkehr
Zahlungen unter Einsatz eines Telefax- oder Telefongeräts anzustoßen.245 Da es bei dieser Art der Zahlung keine Rolle spielt, welches Medium eingesetzt wird, ist es auch denkbar, die Kartendaten über das Internet oder ein anderes elektronisches Medium zu übermitteln. Folglich kann dieses, als „Mail-Order bzw. TelephoneOrder-Verfahren” bezeichnete Kreditkarten-Verfahren auch problemlos für Zahlungen im Internet eingesetzt werden.246 Für den Fernabsatz ist dieses Verfahren insbesondere auch deshalb geeignet, weil weder die Vorlage der Kreditkarte noch eine Unterschrift, die normalerweise beide Voraussetzung für eine wirksame Anweisung sind,247 erforderlich sind.
5.3.2
Die Risiken des Kreditkarteneinsatzes im Fernabsatz
Der Einsatz der Kreditkarte im Fernabsatz ist mit einem erhöhten Missbrauchsrisiko verbunden, denn die auf die Karte aufgeprägten Daten können von jedermann, der die Karte in Händen hält, gelesen werden. Da bei Bezahlung mittels Karte die (körperliche) Karte in der Regel dem Händler vorgelegt wird, kann eine unbegrenzte Anzahl an Personen Kenntnis von den Kartendaten nehmen. Gleiches gilt für den Fall, dass im Mail-Order- bzw. Telephone-Order-Verfahren die Kartendaten weitergeleitet werden, da auch hier eine unbegrenzte Anzahl an Personen mit den Kartendaten in Berührung kommen kann. Aufgrund dessen können sie nicht in gleicher Weise geheim gehalten werden wie eine PIN. Außerdem kann der Akzeptant einer Zahlung im Mail-Order- bzw. TelephoneOrder-Verfahren nicht überprüfen, ob er die Kartendaten vom Berechtigten erhalten hat, denn aufgrund der fehlenden Möglichkeit, die Karte zu sehen, weiß er nicht, ob derjenige, der ihm die Daten übermittelt, tatsächlich auch im Besitz der Karte ist. Schließlich wäre aber auch eine telekommunikative Übermittlung wenig hilfreich, da der Akzeptant aufgrund der fehlenden Möglichkeit, einen Beleg zu unterschreiben, nicht überprüfen kann, ob der Karteninhaber selbst handelt. Aber selbst wenn der Händler sich über telekommunikativem Wege einen Beleg unterzeichnen lassen könnte, hätte er keine Gewähr dafür, dass die Unterzeichnung auch tatsächlich vom berechtigten Karteninhaber vorgenommen wird, da z. B. gerade bei der Übermittlung mittels Telefax leichte Fälschungsmöglichkeiten bestehen. Dies hat zur Folge, dass die Übermittlung einer Kreditkartennummer nicht den Beweis des ersten Anscheins dafür begründen kann, dass der berechtigte 245
Vgl. zu diesem Verfahren Kienholz, Die Zahlung mit Kreditkarte im Nah- und Fernabsatz, 16 ff.
246
Zum Mail-Order/Telephone-Order-Verfahren vgl. Haun/Neuberger in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1880; Etzkorn, WM 1991, 1901 (1904); Pfeiffer in von Westphalen, Kreditkartenvertrag, Rn. 21; Kienholz, Die Zahlung mit Kreditkarte im Nah- und Fernabsatz, 2000, 16 ff.
247
Haun/Neuberger in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1880 ff; Langenbucher, Die Risikozuordnung im bargeldlosen Zahlungsverkehr, 264; Kienholz, Die Zahlung mit Kreditkarte im Nah- und Fernabsatz, München 2000, 16 ff.
5.3 Die Kreditkarte im Internet
99
Karteninhaber verfügt oder schuldhaft missbräuchlich zum Einsatz seiner Karte beigetragen hat. Folglich hat der Karteninhaber dann, wenn eine Zahlung im MailOrder bzw. Telephone-Order-Verfahren ausgeführt worden ist und der Karteninhaber den Einsatz der Karte bestreitet, den Vollbeweis dafür zu erbringen, dass der berechtigte Karteninhaber verfügt hat. Wenn er diesen Nachweis nicht führen kann, hat er keinen Anspruch gegen die Kartengesellschaft, die ihrerseits nicht in der Lage ist, ihren Anspruch gegenüber dem Karteninhaber zu begründen.248 Ist es nicht möglich, den Nachweis zu führen, dass entweder der Karteninhaber selbst verfügt oder wenigstens schuldhaft zum missbräuchlichen Einsatz seiner Karte beigetragen hat, ist dieses Risiko entweder vom Kartenakzeptanten oder der Kreditkartengesellschaft zu tragen. In der Regel sehen die Verträge zwischen den Kreditkartengesellschaften und den Händlern Rückforderungsklauseln für den Fall vor, dass eine Kreditkartenzahlung im Fernabsatz angenommen wurde und ihre Veranlassung vom Karteninhaber bestritten wird.249 In den Kreditkartenbedingungen findet sich zwar regelmäßig eine Regelung, wonach der Karteninhaber verpflichtet ist, dafür Sorge zu tragen, dass kein Dritter Kenntnis von seiner Geheimzahl erlangen kann, jedoch bezieht sich dies ausschließlich auf die ggf. auch im Zusammenhang mit einer Kreditkarte ausgegebene PIN, die Abhebungen an Geldautomaten oder den Einsatz der Karte an automatisierten Kassen ermöglicht. Erfasst werden von dieser Klausel jedoch nicht die offen auf die Karte aufgeprägten Daten.
5.3.3
Das SET-Verfahren
Um die sich aus dem Mail-Order- bzw. Telephone-Order-Verfahren ergebenden Risiken für den Einsatz der Kreditkarte im Fernabsatz zu minimieren, ist ein spezielles Verfahren, das SET (=Secure Electronic Transaction)-Verfahren entwickelt worden, bei dem die Kartendaten unter Verwendung eines asymmetrischen, digitalen Signaturverfahrens (Public-Key-Verfahren) verschlüsselt weitergeleitet werden. Aufgrund mangelnder Akzeptanz ist dieses Verfahren von den Kartengesellschaften mittlerweile jedoch eingestellt worden.
5.3.4
Neue Kartenzahlungsverfahren im Internet
Um trotz der Einstellung des SET-Verfahrens zukünftig sichere Zahlungsmöglichkeiten im Internet mittels Kreditkarte anbieten zu können, haben die Kreditkartenorganisationen VISA und MasterCard unter den Bezeichnungen „Verified by VISA“ und „MasterCard SecureCode“ technische Verfahren entwickelt, die für
248
Vgl. Kienholz, Die Zahlung mit Kreditkarte im Nah- und Fernabsatz, München 2000, 76 ff; Haun/Neuberger in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1880 ff.
249
Vgl. dazu Haun/Neuberger in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1893; Kienholz, Die Zahlung mit Kreditkarte im Nah- und Fernabsatz, München 2000, 76.
100
5 Kartengestützter Zahlungsverkehr
den Verbraucher beim Einsatz der Kreditkarte so in den Hintergrund treten, dass er davon praktisch nichts merkt. In beiden Verfahren lassen sich die Karteninhaber zunächst über den Bildschirm bei ihren jeweiligen Kartenemittenten registrieren und erhalten ein spezielles Passwort. Will der Karteninhaber bezahlen, gibt er auf der Website im Zahlungsformular des Händlers seine Kreditkartendaten ein. Diese werden unter Nutzung einer verschlüsselten Verbindung vom Internet-Browser des Karteninhabers an den Händler übertragen. Eine spezielle Sicherheitssystemkomponente im System des Händlers nimmt anschließend die Kommunikation mit dem Server der Kartengesellschaft auf, über den eine Authentisierungsanfrage an den Zugangsserver des kartenemittierenden Instituts veranlasst wird. Danach öffnet sich beim Karteninhaber, sofern er sich für ein entsprechendes Verfahren hat registrieren lassen, ein von seinem Institut gesteuertes Browser-Fenster. Der Karteninhaber kann sich aufgrund dessen in der vereinbarten Form – Benutzerkennung und Passwort, Einsatz einer Chipkarte etc. – legitimieren. Der Händler erhält nach Einsatz dieser Medien vom Zugangsserver des kartenausgebenden Instituts und dem Rechner der Kartenorganisation eine Nachricht über das Ergebnis der Legitimationsprüfung. Ist die entsprechende Anfrage erfolgreich, erhält der Händler eine Zahlungszusage. Sollte es nicht zur Authentifizierung kommen, muss der Händler die Transaktion abbrechen. Ist dieser Abbruch darauf zurückzuführen, dass der Karteninhaber sich nicht hat registrieren lassen, erhält die Händlerbank gleichwohl eine Haftungsfreistellung für die Transaktion, allerdings nur dann, wenn der Händler das Zahlungsverfahren ordnungsgemäß durchgeführt hat, der Karteninhaber jedoch nicht am Verfahren teilnehmen konnte, da dieses von seinem kartenausgebenden Institut nicht unterstützt wird. Durch die vorstehend dargestellten Verfahren kann der Karteninhaber den Missbrauch seiner Kreditkarte durch unberechtigte Dritte verhindern. Außerdem wird das Risiko des Händlers durch den Missbrauch von Kreditkarten im Internet erheblich reduziert. Die neuen Verfahren sind in tatsächlicher Hinsicht geeignet, dass Missbrauchsrisiko erheblich zu mindern, soweit das Sicherheitssystem mit entsprechenden technischen Mitteln nicht zu überwinden ist. Gleichwohl besteht das Risiko, dass es zu einem Missbrauch der Zugangsmedien kommen kann, wenn der Karteninhaber diese nicht hinreichend gegen einen Missbrauch durch unberechtigte Dritte absichert. Es gelten hier die gleichen Grundsätze und Anforderungen wie hinsichtlich der Geheimhaltung der PIN und der sorgfältigen Aufbewahrung der Karte im ec-System.250
250
Vgl. Werner in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1467 f., 6/1778 und 6/1975 f.
5.3 Die Kreditkarte im Internet
5.3.5
101
Die grundsätzlichen strukturellen Unterschiede der verschiedenen Verfahren von Kreditkartenzahlungen im Internet
Das Mail-Order- bzw. Telephone-Order-Verfahren ist ein weit verbreitetes Kreditkartenverfahren, das es ohne großen Aufwand erlaubt, die Kreditkarte für Fernzahlungen im Internet einzusetzen. Allerdings ist dieses Verfahren mit nicht unerheblichen Risiken verbunden, da die Kartendaten offen übermittelt werden und damit der Kartenakzeptant keine Sicherheit dafür hat, dass der berechtigte Karteninhaber verfügt hat. Er hat das Risiko für den missbräuchlichen Einsatz einer Kreditkarte im Mail-Order- bzw. Telephone-Order-Verfahren – und nicht der Kreditkarteninhaber – zu tragen, gleichwohl haben Missbräuche auch Auswirkungen auf den Karteninhaber, da er zumindest unberechtigte Belastungen reklamieren muss. Unabhängig davon ist die Risikozuweisung jedoch eindeutig, denn aufgrund der geringen Sicherheit dieses Verfahrens kommen dem Händler bzw. der Kartengesellschaft keine Beweiserleichterungen zugute, wobei es in der Regel nur schwer möglich sein wird, ggf. den Vollbeweis dafür zu erbringen, dass der Karteninhaber verfügt oder sorgfaltspflichtwidrig gehandelt hat und damit der Schaden vom Karteninhaber verursacht worden und folglich zu tragen ist. Außerdem sind kaum Fallkonstellationen denkbar, in denen überhaupt im Mail-Order- bzw. TelephoneOrder-Verfahren von einem wenigstens grob fahrlässigen Missbrauch des Karteninhabers ausgegangen werden kann.
6
Risiken des elektronischen Zahlungsverkehrs über Online-Medien – Einschränkung der Gestaltungsmöglichkeiten durch Gesetzgebung und Rechtsprechung
Die Risiken des elektronischen Zahlungsverkehrs im Internet lassen sich nicht einheitlich darstellen, da sie sich von Produkt zu Produkt unterscheiden. Gleiches gilt im Hinblick auf die Grenzen, die durch Gesetzgebung und Rechtsprechung gezogen werden. Es kann nur versucht werden, anhand der einzelnen Produkte die Kernfragen herauszuarbeiten. Bei allen Verfahren stellen sich die Fragen nach der Beweislast und den Haftungsrisiken. Deshalb sollen diese nachfolgend behandelt und noch einmal im Zusammenhang dargestellt werden.
6.1 Beweislast und Haftungsrisiken der Kreditkartenzahlungen 6.1.1
Im Mail- bzw. Telephone-Order-Verfahren
Im Zusammenhang mit den Darstellungen zum Mail-Order- bzw. TelephoneOrder-Verfahren ist bereits im Einzelnen dargestellt worden, wie die Kreditkarte zur Zahlung im Internet eingesetzt werden kann. Es genügt, die auf der Karte offen aufgeprägten Daten zu übermitteln. Dadurch wird dem kartenemittierenden Institut die Weisung erteilt, den vom Kreditkarteninhaber zu entrichtenden Betrag an den Händler zu bezahlen. Das Verfahren ist jedoch gegenüber dem körperlichen Einsatz der Kreditkarte vereinfacht und dadurch auch unsicherer, da weder die Kreditkarte vorgelegt noch ein Leistungsbeleg unterzeichnet werden muss. Folglich hat der Akzeptant weder die Möglichkeit zu überprüfen, ob die Kartendaten überhaupt vom berechtigten Karteninhaber übermittelt wurden, noch kann er durch Unterschriftsvergleich kontrollieren, ob der tatsächliche Karteninhaber auch mit dem Verfügenden identisch ist. Das Verfahren ist zwar nach den Kreditkartenbedingungen zulässig, gleichwohl geben die Kartengesellschaften aufgrund der damit verbundenen Risiken dem Händler gegenüber keine Zusicherung über die Einlösung der Zahlung ab. Soweit die Kreditkartengesellschaften sich deshalb „Rückbelastungsrechte” in den Rahmenvereinbarungen mit den Kartenakzeptanten
104
6 Risiken des elektronischen Zahlungsverkehrs über Online-Medien
ohne jegliche Einschränkungen vorbehalten, ist darin eine unzulässige Sphärenhaftung gesehen worden.251 Ob die Kartengesellschaften deshalb kein oder nur ein eingeschränktes Rückbelastungsrecht haben, dürfte aber dennoch zweifelhaft sein. Letztlich ist die Kartengesellschaft im Mail-Order bzw. Telephone-Order-Verfahren zum Zahlungsausgleich verpflichtet, wenn im Zweifelsfall der Nachweis geführt werden kann, dass der berechtigte Karteninhaber verfügt hat. Im Gegensatz zur Zahlung unter Vorlage der Karte knüpft die Zahlungsverpflichtung der Kartengesellschaft im Mail-Order- oder Telephone-Order-Verfahren nicht lediglich an die Erfüllung formaler Kriterien an.252 6.1.1.1 Missbrauchsrisiko Das Mail-Order- bzw. Telephone-Order-Verfahren ist für denjenigen, der eine entsprechende Kreditkartenzahlung akzeptiert, mit dem Risiko behaftet, dass er im Zweifel nicht den Nachweis führen kann, dass der berechtigte Karteninhaber die Zahlung veranlasst hat. Unter Berücksichtigung, dass die Kreditkartennummer und die sonstigen Daten offen auf die Karte aufgeprägt sind, reicht es nicht, dass der Händler nachweisen kann, dass ihm die Kartendaten eines bestimmten Karteninhabers übermittelt wurden, um damit den Beweis des ersten Anscheins dafür zu begründen, dass auch der berechtigte Karteninhaber verfügt hat.253 Damit der Kartenakzeptant den Karteninhaber mit dem Zahlungsbetrag belasten kann, ist es, falls dieser den Einsatz der Karte bestreitet, erforderlich, den Vollbeweis dafür zu erbringen, dass entweder der Karteninhaber selbst verfügt oder zumindest schuldhaft zum Missbrauch seiner Karte beigetragen hat. Bei einem missbräuchlichen Einsatz ist allerdings zu berücksichtigen, dass es für eine schuldhafte Mitwirkung des Karteninhabers nicht genügt, wenn ein Dritter die offen auf die Karte aufgeprägten Daten zur Kenntnis nimmt und missbräuchlich einsetzt, denn da die Kartendaten offen auf die Karte aufgeprägt sind, besteht keine Verpflichtung des Karteninhabers, diese vor der unberechtigten Kenntnisnahme durch Dritte zu schützen. Insbesondere kann bei der offenen Übermittlung der Kartendaten nicht ausgeschlossen werden, dass eine nicht eingrenzbare Anzahl an Personen Kenntnis von diesen erlangen und sie damit missbrauchen kann. Aufgrund dessen garantieren die Kartengesellschaften den Händlern die Zahlung in diesem Verfahren nicht, da der Zahlungsempfänger, sollte er die wirksame Erteilung einer Weisung nicht beweisen können, das Zahlungsrisiko zu tragen hat, sofern der Karteninhaber den Einsatz der Karte bestreitet.254 251
Vgl. BGH v. 16.04.2002 – XI ZR 375/00, BB 2002, 1384.
252
Vgl. dazu Werner, BB 2002, 1382.
253
Zu den Voraussetzungen des Anscheinsbeweises im Kartenverfahren vgl. Pleyer in FSBaumgärtel, 1990, 453; LG Duisburg v. 22.12.1988 – 5 S 35/88, WM 1989, 181=WuB I. D5.-3.89 Hadding; AG Bochum v. 11.02.1988 – 44 C 445/86, WM 1988, 1629=WuB I. D5.-1.89 Reiser; Werner in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1509.
254
Vgl. Köhler, NJW 1998, 185 (189); Meder, ZBB 2000, 89 (98).
6.1 Beweislast und Haftungsrisiken der Kreditkartenzahlungen
105
Sollte die Kartengesellschaft – was allerdings nicht die Regel ist – dem Kartenakzeptanten allein bei Übermittlung der richtigen Kartendaten die Zahlung auch ohne Unterzeichnung des Belegs garantieren, wäre das Missbrauchsrisiko zumindest nicht vom Karteninhaber zu tragen, da die Kartengesellschaft ihm gegenüber den Aufwendungsersatzanspruch gem. §§ 675 Abs. 1, 670 BGB nur dann geltend machen kann, wenn sie den Beweis dafür erbringt, dass er die Zahlung tatsächlich veranlasst hat.255 Falls der Karteninhaber schuldhaft zu einem Missbrauch der Karte beigetragen hat, hätte die Kartengesellschaft unter dem Gesichtspunkt der nebenvertraglichen Pflichtverletzung gem. § 280 BGB einen Anspruch auf Ersatz des Schadens, der dadurch entstanden ist, dass die Karte missbräuchlich eingesetzt worden ist. Im Regelfall ist dieser Schaden in der Höhe identisch mit dem Betrag der Kartenverfügung. Aufgrund der fehlenden Geheimhaltungsverpflichtung kann die Verwendung der auf die Karte aufgeprägten Daten auch nicht den Beweis des ersten Anscheins dafür begründen, dass der Inhaber mit seinen Kartendaten unsorgfältig umgegangen ist. Deshalb scheidet, sollte der berechtigte Karteninhaber den Einsatz der Karte bestreiten, in der Regel ein Anspruch gegen ihn wegen einer Verletzung der Sorgfaltspflichten aus dem Kartenvertrag aus. In den Kreditkartenbedingungen findet sich zwar regelmäßig eine Bestimmung, wonach der Karteninhaber verpflichtet ist, dafür Sorge zu tragen, dass kein unberechtigter Dritter Kenntnis von seiner Geheimzahl erlangen kann, jedoch sind damit nicht die auf die Karte aufgeprägten Daten, sondern die PIN gemeint, die ggf. auch für die Kreditkarte ausgegeben werden, damit diese an automatisierten Kassen oder an Geldautomaten eingesetzt werden kann. 6.1.1.2 Regelungen in den Kartenbedingungen Weiterhin finden sich in den Kreditkartenbedingungen Regelungen, wonach der Karteninhaber für missbräuchliche Verfügungen unabhängig von seinem Verschulden bis zu einem Betrag von 50,00 Euro, haftet. Allerdings kann von einer missbräuchlichen Verfügung nur dann ausgegangen werden, wenn die Karte tatsächlich von einem Unberechtigten eingesetzt wird. Es ist jedoch nicht als missbräuchliche Verfügung anzusehen, wenn der Karteninhaber den Besitz an seiner Karte nicht verloren hat und ein Dritter lediglich Kenntnis von den auf die Karte aufgeprägten Daten erlangt. In einem solchen Fall kommt es nicht zum Missbrauch der Karte, sondern lediglich der Kartendaten, die der Karteninhaber nicht geheim halten kann, geschweige denn muss. Bei einer missbräuchlichen Verwendung der Kartendaten könnte nur dann an eine Haftung des Karteninhabers ge255
Vgl. Haun/Neuberger in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1934; Palandt/Sprau, § 670 Rn. 7; Baumbach/Hefermehl, Wechselgesetz und Scheckgesetz, Art. 4 Scheckgesetz, Anhang 27; Kümpel, Bank- und Kapitalmarktrecht, Rn. 4.1029 ff; Canaris, Bankvertragsrecht, Rn. 527o und Rn. 847a; Schwintowski/Schäfer, § 13 Rn. 40; Werner in Schwarz/Peschel-Mehner, Recht im Internet, Zivilrecht 2-A 2.3.4.2 Rn. 57.
106
6 Risiken des elektronischen Zahlungsverkehrs über Online-Medien
dacht werden, wenn ihm die Kreditkarte abhanden gekommen ist und es danach zu Verfügungen im Mail-Order- bzw. Telephone-Order-Verfahren unter Einsatz der richtigen Kartendaten gekommen ist. Es ist jedoch nicht vertretbar, den Karteninhaber auch nur mit dem in den Bedingungen festgelegten geringen Betrag unabhängig von seinem Verschulden am Schaden zu beteiligen, wenn nicht einmal feststeht, ob es überhaupt zu einem missbräuchlichen Einsatz seiner (körperlichen) Karte gekommen ist. Eine solche Haftung wäre nicht nur verschuldens- sondern praktisch auch verursachungsunabhängig und lässt sich nicht damit begründen, dass der Karteninhaber lediglich in geringem Umfange haften muss. Zwar ist eine derartige Sphärenhaftung von der höchstrichterlichen Rechtsprechung unter den Voraussetzungen als zulässig erachtet worden, dass das wirtschaftliche Haftungsrisiko einerseits gering und andererseits die Vorteile, die der Karteninhaber aus einer entsprechenden Haftungsregelung hat, gegenüber den Nachteilen überwiegen256, jedoch setzt diese Sphärenhaftung immerhin voraus, dass der Schaden in der Sphäre des Verpflichteten verursacht worden ist. Kommt es jedoch lediglich zum Einsatz der auf der Karte aufgeprägten Daten, kann nicht von einer Verursachung in der Sphäre des Karteninhabers ausgegangen werden, denn sowohl in Anbetracht der fehlenden Verpflichtung als auch der Möglichkeit, die auf die Karte aufgeprägten Daten geheim zu halten, können die Grundsätze zur Sphärenhaftung beim Kartendatenmissbrauch dann keine Anwendung finden, wenn der Karteninhaber nicht einmal zeitweilig den Besitz an der Karte verloren hat, denn in einem solchen Fall steht nicht fest, dass der Kartenmissbrauch auf die Sphäre des Karteninhabers zurückzuführen ist. Eine Sphärenhaftung, die allein an den Missbrauch der Kartendaten anknüpft, ist nicht begründbar.257 Sollte jedoch die Kreditkarte abhanden und es danach zu missbräuchlichen Verfügungen unter Einsatz der Kartendaten gekommen sein, liegen die Voraussetzungen für die Sphärenhaftung vor. In einem solchen Fall ist die Schadensbeteiligung des Karteninhabers in Höhe eines geringen Betrags nach der aktuellen Rechtsprechung zulässig.258 Einzelne Kreditkartenbedingungen sehen vor, dass bei grober Fahrlässigkeit oder Vorsatz die Haftungsbegrenzung – die nicht nur für die verschuldensunabhängige Sphärenhaftung, sondern auch für einen verschuldeten Missbrauch gilt – keine Anwendung findet. Allerdings dürften im vorliegenden Fall für die Fallkonstellationen, in denen von grober Fahrlässigkeit ausgegangen werden kann, kein Raum sein, denn durch die fehlende Möglichkeit, die Kartennummer vor der Kenntnisnahme durch Dritte zu schützen, sind kaum Fallkonstellationen denkbar, in denen die Bekanntgabe der Kartendaten die grobe Fahrlässigkeit begründen könnte. Wie bereits weiter oben ausgeführt, ist es schon praktisch unmöglich, überhaupt ein Verschulden hinsichtlich der Bekanntgabe der Kartendaten zu be256
Vgl. BGH WM v. 23.04.1991 – XI ZR 128/90 1991, 1110=WuB I. D.5-7.91Fervers.
257
Vgl. dazu Haun/Neuberger in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1961 und Rn. 6/1965.
258
Vgl. Haun/Neuberger n in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1965.
6.1 Beweislast und Haftungsrisiken der Kreditkartenzahlungen
107
gründen. Von einer grob fahrlässigen Schadensverursachung kann allenfalls dann ausgegangen werden, wenn der Karteninhaber grob fahrlässig zum Verlust seiner Karte beigetragen hat. Allerdings dürfte auch bei einem grob fahrlässigen Abhandenkommen der Kreditkarte nur wenig Raum für die Haftung im Zusammenhang mit dem missbräuchlichen Einsatz der Kartendaten bleiben, sofern es demjenigen, der auf die Karte aufgeprägten Daten missbräuchlich verwendet, möglich gewesen wäre, diese auch ohne grobfahrlässiges Verhalten des Karteninhabers zur Kenntnis zu nehmen. Die Haftung des Karteninhabers für den missbräuchlichen Einsatz der Kartendaten endet jedoch ab dem Zeitpunkt, ab dem er den Verlust der Karte bei der Kartengesellschaft angezeigt hat. Aufgrund dieser Benachrichtigung wird der Kartenemittent in die Lage versetzt, eine selbst aufgrund vorausgegangenem grob fahrlässigem Handeln des Karteninhabers verursachte Gefahr auszuschalten, in dem unverzüglich die Sperre der Karte veranlasst wird.259 Im Hinblick auf die Risikoverteilung zwischen dem kartenemittierenden Institut und dem Kartenakzeptanten sehen die Vereinbarungen zwischen den Kartengesellschaften und den Händlern in der Regel ein Rückbelastungsrecht des Kartenemittenten vor, wenn der Karteninhaber einer Belastung nach dem Einsatz der Karte im Fernabsatz widerspricht.260 Aber auch ohne eine solche Regelung ist das Risiko des missbräuchlichen Einsatzes einer Kreditkarte im Fernabsatz über das Mail-Order- bzw. TelephoneOrder-Verfahren vom Kartenakzeptanten zu tragen, denn, um einen Zahlungsanspruch gegen den Karteninhaber und damit auch gegenüber der Kartengesellschaft zu erwerben, muss diese in der Lage sein, den Nachweis zu führen, dass auch tatsächlich der berechtigte Karteninhaber verfügt hat. Sollte ein Unberechtigter die Karte eingesetzt haben, kann im Einsatz der Kartendaten keine wirksame Weisung an das kartenemittierende Institut gesehen werden, eine Zahlung an den Kartenakzeptanten zu leisten. Schließlich entsteht dann, wenn nicht der berechtigte Karteninhaber verfügt hat, auch keine abtretbare Forderung aus dem Grundgeschäft gegen den Karteninhaber, aus dem die Kartengesellschaft nach Abtretung durch den Händler vorgehen könnte. Zwar entsteht auch beim missbräuchlichen Einsatz einer Kreditkarte zwischen dem Kartenakzeptanten und dem (unberechtigten) Karteninhaber eine Forderung, jedoch sind die Ansprüche daraus nicht durchsetzbar, soweit die Identität des Handelnden nicht feststeht. Da die Kartengesellschaft diese Forderung nicht durchsetzen kann, fehlen die Voraussetzungen, unter denen sie sie vom Händler ankaufen muss.261 Zum Forderungsankauf ist die Kartengesellschaft nur verpflichtet, wenn der berechtigte Karteninhaber verfügt hat.
259
Vgl. BGH WM v. 23.04.1991 – XI ZR 128/90, 1991, 1110=WuB I. D5.-7.91 Fervers; OLG Bamberg v. 23.06.1993 – 8 U 21/93, WM 1997, S. 195=WuB I. D5.-8.94 Salje.
260
Vgl. Haun/Neuberger in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1893.
261
Zum Forderungsankauf vgl. Haun/Neuberger in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1884 ff.
108
6 Risiken des elektronischen Zahlungsverkehrs über Online-Medien
Allerdings ist mittlerweile fraglich, ob überhaupt ein Forderungskauf vorliegt. Schließlich hat der BGH die Ansprüche des Vertragsunternehmers gegen den Akquirer trotz eines anderen Wortlauts im Akquiring-Vertrag als abstraktes Schuldversprechen gem. § 780 BGB gewertet.262 Ob der dem entgegenstehende, eindeutige Inhalt eines Akquiring-Vertrages einfach ignoriert werden kann, erscheint jedoch zumindest zweifelhaft.263 Die Rahmenverträge zwischen den Kartengesellschaften und den Händlern sehen zwar ein Zahlungsversprechen des Kartenemittenten sowie seine Verpflichtung zum Forderungsankauf vor, die lediglich an die Einhaltung formaler Prüfkriterien anknüpfen, jedoch gelten im Mail-Order- bzw. Telephone-Order-Verfahren diese Anforderungen gerade nicht, denn dieses wird bewusst außerhalb des normalen Kreditkartenverfahrens angeboten. Aufgrund dessen verzichtet der Akzeptant bei diesem Verfahren auf die Einhaltung aller Voraussetzungen, unter denen eine Kartengesellschaft zur Abgabe des Zahlungsversprechens oder zum Forderungsankauf verpflichtet ist.264 6.1.1.3 Sphärenhaftung Dem steht auch nicht entgegen, dass die verschuldensunabhängige Haftung bis zu einem geringfügigen Betrag nach der höchstrichterlichen Rechtsprechung ausnahmsweise zulässig ist. Zwar ist nach der höchstrichterlichen Rechtsprechung die Sphärenhaftung, d. h. eine Haftung allein nach Verantwortungssphären und unabhängig vom Verschulden, aufgrund eines Verstoßes gegen das deutsche Zivilrecht tragende Verschuldensprinzip, grundsätzlich unzulässig265, sofern jedoch das Risiko für den von der Sphärenhaftung betroffenen wirtschaftlich gering ist und die Vorteile, die mit der Sphärenhaftung verbunden sind, die Nachteile überwiegen, jedoch erfordert auch die Sphärenhaftung eine (Mit-)Verursachung des Schadens durch den Verantwortlichen, da sie immerhin an die Beherrschung einer Verantwortungssphäre anknüpft. Aufgrund dessen ist eine Haftung für den missbräuchlichen Einsatz der Kartendaten im Mail- bzw. Telephone-Order-Verfahren zumindest dann kaum begründbar, wenn die Karte selbst nicht abhanden gekommen ist, denn die nicht geheim zu haltenden Kartendaten können einer unbegrenzten Anzahl an Personen zur Kenntnis gelangen, so dass nicht von der Beherrschbarkeit dessen in der Sphäre des Karteninhabers ausgegangen werden kann.266 262
BGH v. 16.09.2002 – XI ZR 375/00, BB 2002, 1384.
263
Vgl. Werner, BB 2002, 1382.
264
Vgl. dazu Haun/Neuberger in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1880 ff; Etzkorn, WM 1991, 1901.
265
Vgl. BGH v. 23.04.1991 – XI ZR 128/90, WM 1991, 1110 = WuB I. D.5.-7.1 Fervers.
266
Vgl. zur Sphärenhaftung Haun/Neuberger in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1961 und 6/1965.
6.1 Beweislast und Haftungsrisiken der Kreditkartenzahlungen
109
Dafür spricht auch der Inhalt des Begriffs „Verwendung”, wie er früher beim Einsatz einer ec-Karte zur Begründung einer Scheckkarten-Garantie verstanden wurde. Nach dem bis zum 31.12.2001 geltenden Abschnitt III. Nr. 1.1 der Bedingungen für ec-Karten setzte die Begründung der ec-Garantie die „Verwendung” der Karte voraus. Allerdings war in diesem Zusammenhang strittig, ob dazu auch die körperliche Vorlage der Karte erforderlich war.267 Sowohl in der Literatur als auch in der Rechtsprechung wurde die Ansicht vertreten, dass die körperliche Vorlage der Karte selbst nicht Wirksamkeitserfordernis für das Zustandekommen der ecGarantie war.268 Grundlage dieser Ansicht war eine BGH-Entscheidung, wonach die Begründung der ec-Garantie nicht von einer Vorlage der Karte beim Schecknehmer abhängen sollte, sondern dass es ausreichte, wenn der berechtigte Karteninhaber den Scheck übergab und mit der richtigen Kartennummer versah.269 Danach trug der Schecknehmer bei der Annahme eines Schecks, ohne sich auch die ec-Karte vorlegen zu lassen, das Risiko einer missbräuchlichen Kartenverwendung.270 Folglich genügte es für die Verwirklichung des Tatbestandsmerkmals „Verwendung“, dass der berechtigte Karteninhaber die richtige Kartennummer auf den Scheck schrieb. Überprüfte der Schecknehmer nicht die Berechtigung des Scheckausstellers, trug er das daraus resultierende Risiko, da dann, wenn die Kartennummer von einem Unberechtigten aufgebracht wurde, der nicht über die Karte selbst verfügte, keine Scheckgarantie begründet werden konnte. Die Gegenansicht vertrat jedoch die Meinung, dass „Verwendung” immer den körperlichen Einsatz der Karte gegenüber dem Schecknehmer voraussetzte. Wird diese Interpretation des Begriffs „Verwendung”, wie er in den früheren ec-Bedingungen verwendet wurde, auf die Kreditkarte übertragen271, kann ein missbräuchlicher Einsatz der Kreditkarte, der die Mithaftung des Karteninhabers begründet, nur dann in Betracht kommen, wenn derjenige, der die auf die Karte aufgeprägten Daten zur missbräuchlichen Verfügung einsetzt, auch über die körperliche Karte selbst verfügt. Deshalb liegt eine missbräuchliche Verfügung, die eine Mithaftung des berechtigten Karteninhabers begründen kann, nur vor, wenn die Kreditkarte abhanden gekommen ist und danach missbräuchlich verfügt wurde.
267
Vgl. dazu Werner in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1343.
268
Vgl. Baumbach/Hefermehl, ScheckG und WechselG, Art. 4 ScheckG, Rn. 9 und 10; BGH v. 25.01.1982 – II ZR 154/8, BGHZ 83, 28; OLG Frankfurt v. 29.09.1989 – 10 U 154/87, WM 1990, 12; LG Berlin v. 08.11.1976 – 23 O 54/76, NJW 1977, 586; AG Charlottenburg v. 13.10.1983 – 7 C 526/83 A, NJW 1984, 2124.
269
Vgl. BGH v. 25.01.1982 – II ZR 154/8, BGHZ 83, 28.
270
Vgl. Bundschuh, WM 1983, 1178, 1181.
271
Über die Besonderheiten der „Verwendung” bei der ec-Karte vgl. Werner in ner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1343 ff, wobei die sich aus der bräuchlichen „Verwendung” ergebenden Konsequenzen andere waren als beim bräuchlichen Einsatz der Kreditkarte, da die ec-Bedingungen diesbezüglich Sonderregelungen enthielten.
Hellmissmissnoch
110
6 Risiken des elektronischen Zahlungsverkehrs über Online-Medien
Nur dann sind die Voraussetzungen für die (begrenzte) zulässige Sphärenhaftung gegeben.272 Die Kreditkartenbedingungen einiger Institute enthalten darüber hinaus eine weitere Regelung, wonach die Haftungsbegrenzung, die nicht nur für eine verschuldensunabhängige, sondern auch für eine verschuldete Schadensverursachung gilt, dann nicht gelten soll, wenn der Karteninhaber grob fahrlässig oder vorsätzlich handelt. Eine solche Einschränkung der Haftungsbegrenzung ist jedoch bei reiner Verwendung der auf die Karte aufgeprägten Daten ohne Verlust der Karte selbst nur von geringer Bedeutung. Wie bereits ausgeführt, können die auf die Karte aufgeprägten Daten nicht geheim gehalten werden und werden so einer nicht eingrenzbaren Anzahl an Personen bekannt. Auf dieser Grundlage bleibt für einen grob fahrlässigen Missbrauch jedoch kein Raum. Ein solcher könnte allenfalls dann vorliegen, wenn der Karteninhaber grob fahrlässig zum Verlust seiner Karte und damit zum anschließenden missbräuchlichen Einsatz der Kartendaten beigetragen hat. Auch bei einer solchen Fallkonstellation ist zu überlegen, ob nicht die Zulässigkeit des Mail- bzw. Telephone-Order-Verfahrens eine umfassende Haftung der Kreditkartengesellschaft für den Missbrauch dieses Verfahrens begründen kann, denn dadurch wurde ein schadensanfälliges Verfahren eingeführt, das ein überproportional hohes Haftungsrisiko begründet. Daraus kann die Schlussfolgerung gezogen werden, dass das aus diesem Verfahren resultierende erhöhte Missbrauchsrisiko vom Karteninhaber nicht über den Haftungsbegrenzungsbetrag hinaus zu tragen ist, da er keine Möglichkeit hat, sich dieser Art des Missbrauchs zu entziehen. Aufgrund des nur schwer zu kontrollierenden Risikos des Missbrauchs der Kartendaten ist es unter Risikoerhöhungsgesichtspunkten nicht als angemessen anzusehen, dass der Karteninhaber unbegrenzt für den Missbrauch seiner Kartendaten einzustehen hat, selbst wenn er grobfahrlässig zum Missbrauch seiner körperlichen Kreditkarte beigetragen hat. Die Kreditkartenbedingungen sehen vor, dass nach Anzeige des Verlustes der Kreditkarte bei der Kartengesellschaft bzw. dem Sperrannahmedienst die Haftung des Karteninhabers in jedem Fall endet, da nur der Kartenemittent die Möglichkeit hat, durch entsprechende organisatorische Maßnahmen für eine Sperre der Karte und damit für das Ende ihres missbräuchlichen Einsatzes zu sorgen. 6.1.1.4 Risikoverteilung Sofern der Karteninhaber das Risiko einer missbräuchlichen Verwendung seiner Kartendaten im Internet nicht trägt, muss dieses entweder von der Kartengesellschaft oder von dem akzeptierenden Unternehmen übernommen werden. Dies hängt von der Ausgestaltung des Vertragsverhältnisses zwischen Vertragsunternehmen und Kartengesellschaft ab.
272
Vgl. dazu Haun/Neuberger In Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1965.
6.1 Beweislast und Haftungsrisiken der Kreditkartenzahlungen
111
Die Vereinbarungen zwischen den Kartengesellschaften und den Kartenakzeptanten enthalten in der Regel ein Rückbelastungsrecht der Kartengesellschaft für den Fall, dass die Kartendaten zu einer Zahlung im Mail- bzw. Telephone-OrderVerfahren eingesetzt wurden und der Karteninhaber gegen die Belastung Widerspruch eingelegt hat. In den genannten Verfahren ist das Unternehmen, das die Kartenzahlung akzeptiert, in der Regel nicht in der Lage, den Nachweis zu führen, dass der berechtigte Karteninhaber gehandelt hat, da es bei diesem Verfahren auf die Überprüfung der Identität durch das Einholen einer Unterschrift des Zahlungsbelegs bewusst verzichtet.273 Eine Ausnahme gilt nur dann, wenn der Kartenakzeptant den Nachweis führen kann, dass tatsächlich der berechtigt Karteninhaber trotz seines Bestreitens gehandelt hat, da die Kartengesellschaft in diesem Fall verpflichtet ist, ihm den Betrag zu erstatten bzw. das Rückbelastungsrecht nicht auszuüben, da die Kartengesellschaft dann gegenüber dem Karteninhaber den Aufwendungsersatzanspruch gem. §§ 675, 670 BGB sowie eventuelle Ansprüche aus dem Valutaverhältnis aus einer übergegangenen Forderung gegen den Karteninhaber geltend machen kann.274 Sollte der Vertrag zwischen einem Händler und einer Kreditkartengesellschaft keine Regelung zum Missbrauchsrisiko im Mailbzw. Telephone-Order-Verfahren enthalten, verbliebe dieses danach beim Kartenakzeptanten, denn dieser hätte nur dann einen Anspruch gegen die Kartengesellschaft auf Zahlungsausgleich, wenn er den Nachweis führen könnte, dass der berechtigte Karteninhaber die Weisung zum Forderungsausgleich erteilt hat und ggf. eine übertragbare Forderung gegen diesen entstanden ist. Im Falle des Handelns eines Unberechtigten fehlt jedoch eine wirksame Weisung. Auch ist gegen den berechtigten Karteninhaber keine abtretbare Forderung aus dem Grundgeschäft entstanden, die auf die Kartengesellschaft übertragen werden könnte. Zwar entsteht eine Forderung gegen den Handelnden auch dann, wenn die Karte von einem Unberechtigten eingesetzt wurde, jedoch ist die Kartengesellschaft nicht verpflichtet, diese anzukaufen und aufgrund der Weisung eines Unberechtigten Ausgleich zu leisten, da sie keine Möglichkeit hat, Rückgriff gegen diesen zu nehmen, wenn seine Identität nicht feststeht. Liegen jedoch diese Voraussetzungen für den Ankauf einer Forderung nicht vor, ist die Kartengesellschaft nicht zum Ausgleich verpflichtet. Der BGH hat allerdings in einer Entscheidung vom 16.04.2002275 die Rechtsfigur des Forderungskaufs – selbst bei ausdrücklicher Vereinbarung – verworfen. Bevor darüber entschieden werden konnte, ob und unter welchen Voraussetzungen das Rückbelastungsrecht zulässig ist, war zunächst die Frage zu klären, auf welcher Rechtsgrundlage der Anspruch des Vertragsunternehmens aus dem Acqui-
273
Vgl. Haun/Neuberger in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1882 und 6/1935.
274
Vgl. Haun/Neuberger in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1932; Hadding in FS-Pleyer 1986, 17, 35f.
275
BGH BB 2002, 1384.
112
6 Risiken des elektronischen Zahlungsverkehrs über Online-Medien
ring-Vertrag gegen das Kreditkartenunternehmen auf Ausgleich der Forderung gegen den Karteninhaber beruht. Während der VIII. Zivilsenat in einer Entscheidung aus dem Jahre 1990276 noch die Ansicht vertreten hatte, der Rahmenvertrag zwischen der Kreditkartengesellschaft und dem Vertragsunternehmen begründe einen Anspruch auf einen Forderungskauf der Kartengesellschaft gegenüber dem Vertragsunternehmen, wird nunmehr vom XI. Zivilsenat die Ansicht vertreten, auch wenn der Wortlaut der Rahmenvereinbarung für eine Verpflichtung zum Forderungsankauf unter bestimmten Voraussetzungen spreche, sei in der Zahlungszusage ein abstraktes Schuldversprechen gem. § 780 BGB zu sehen, das von der Kreditkartengesellschaft gem. § 158 Abs. 1 BGB unter der aufschiebenden Bedingungen abgegeben werde, dass ein bestimmungsgemäßer Einsatz der Kreditkarte unter Beachtung der im Akquisitionsvertrag im einzelnen dargelegten Bedingungen erfolge. Als weiteres hatte der BGH über die Frage zu entschieden, ob und inwieweit die Rückbelastungsklauseln für den Einsatz der Kreditkarte im Telefon- bzw. Mailorderverfahren zulässig sind. Diesbezüglich ist in den Entscheidungsgründen die Ansicht vertreten worden, dass unter Berücksichtigung der Bargeldsurrogatfunktion und der Abgabe eines abstrakten Schuldversprechens gem. § 780 BGB aufgrund des Rahmenvertrags die Kreditkartengesellschaft das Veritätsrisiko für das Bestehen eines Anspruchs des Vertragsunternehmens gegen den Karteninhaber nicht pauschal auf das Vertragsunternehmen verlagern könne. Eine Klausel, wonach das Risiko des Nichtbestehens eines Anspruchs gegen den Karteninhaber in vollem Umfange auf das Vertragsunternehmen übertragen wird, sei gem. § 9 Abs. 1 und 2 Nr. 2 AGBG (jetzt: § 307 Abs. 1 und Abs. 2 Nr. 2 BGB) insoweit als unwirksam anzusehen, als das Rückbelastungsrecht begründet sein soll, wenn der Karteninhaber die Bestellung oder die Echtheit der Unterschrift bestreitet und deshalb die Bezahlung des Rechnungsbetrages verweigert. Der BGH hat darin die Begründung einer verschuldensunabhängigen Haftung des Vertragsunternehmens gesehen, die aufgrund eines Verstoßes gegen das Verschuldensprinzip unwirksam sei, denn der Kartenakzeptant würde für die missbräuchliche Benutzung der Kreditkartennummer durch einen Unberechtigten danach selbst für den Fall belastet, dass der Missbrauch für ihn weder erkennbar noch zu verhindern war. Außerdem ist der BGH bei Abwägung der verschiedenen Aspekte zum Für und Wider einer solchen Klausel zu dem Ergebnis gelangt, dass das Kartenunternehmen das weite Missbrauchsrisiko beim Telefon- bzw. Mailorderverfahren wesentlich besser beherrschen könne, als das einzelne Vertragsunternehmen. Damit hat der BGH – sogar entgegen dem ausdrücklichen Wortlaut einiger AkquiringVerträge – den Forderungskauf als Rechtgrundlage für die Verpflichtung der Kartengesellschaft zum Forderungsausgleich verworfen. Er hat diese Rechtsansicht im Übrigen durch weitere Entscheidungen bestätigt.277 276
BGH WM 1990, 1059.
277
Vgl. BGH WM 2004, 426, 427; BGH WM 2004, 1031, 1032, und BGH WM 2004, 1130, 1131.
6.1 Beweislast und Haftungsrisiken der Kreditkartenzahlungen
113
Die Rahmenverträge zwischen den Kartengesellschaften bzw. AkquiringUnternehmen und den Kartenakzeptanten knüpfen das Zahlungsversprechen sowie die Verpflichtung zum Forderungsankauf in der Regel an die Einhaltung rein formaler Prüfkriterien mit der Folge, dass dann, wenn die Formalien eingehalten werden, das Kartenunternehmen zum Ausgleich verpflichtet ist, selbst wenn tatsächlich ein Unberechtigter gehandelt hat. Da jedoch im Mail- bzw. TelephoneOrder-Verfahren auf diese formalen Prüfkriterien verzichtet wird, fehlen die Voraussetzungen, die eine Verpflichtung des Kartenemittenten begründen könnten, die Forderung des Kartenakzeptanten auszugleichen. Aufgrund dessen hat der Händler das Risiko des missbräuchlichen Einsatzes der Kartendaten auch im Internet zu tragen. Daran ändert auch eine Entscheidung des BGH nichts, wonach Rückbelastungsklauseln in Verträgen zwischen Vertragsunternehmen und Kartengesellschaft bzw. Acquiring-Unternehmen aufgrund eines Verstoßes gegen den § 307 Abs. 1 und Abs. 2 BGB unwirksam sind, wenn das Rückbelastungsrecht kein Verschulden des Vertragsunternehmens voraussetzt.278 6.1.1.5 Rückbelastungsklauseln im Mail- und Telephone-Order-Verfahren Zwar ist es zutreffend, das Vertragsunternehmen nicht mit dem Schadensrisiko zu belasten, wenn dieses den eingetretenen Schaden nicht schuldhaft verursacht hat, da darin eine unzulässige Sphärenhaftung zu sehen wäre.279 Dem steht jedoch entgegen, dass der Schaden durch die Rückbelastungsklausel nicht auf das Vertragsunternehmen verlagert wird, sondern bei diesem eintritt, wenn es kein Rückbelastungsrecht gegen die Kartengesellschaft hat. Im vorliegenden Fall setzt jedoch ein Anspruch auf Erstattung des Kartenbetrags voraus, dass der Berechtigte die Karte zur Zahlung eingesetzt hat, denn nur dann hat das Vertragsunternehmen einen Anspruch gegen die Kartengesellschaft aus einem „abstrakten Schuldversprechen”, wie der BGH den Anspruch gegen die Kartengesellschaft wertet.280 Unabhängig davon, dass der BGH in diesem Zusammenhang ohne nähere Begründung den Wortlaut der meisten Acquiringverträge ignoriert, die eine Verpflichtung zum Forderungsankauf vorsehen,281 setzt die Zahlungsverpflichtung der Kartengesellschaft bzw. des Akquiring-Unternehmens zumindest voraus, dass entweder die vertraglich vereinbarten Formerfordernisse für die Begründung der Zahlungsverpflichtung eingehalten werden oder – so solche nicht existieren – materiellrechtlich ein Anspruch begründet wird.
278
Vgl. BGH v. 16.04.2002 – XI ZR 375/00, BB 2002, 1384.
279
Vgl. dazu Werner, BB 2002, 1382.
280
Vgl. BGH v. 16.04.2002 – XI ZR 375/00, BB 2002, 1384.
281
Vgl. Werner, BB 2002, 1382 (1382f); ders., Geldverkehr im Internet – Ein Praxisleitfaden, 178f.
114
6 Risiken des elektronischen Zahlungsverkehrs über Online-Medien
Im Mail-Order- bzw. Telephone-Order-Verfahren werden jedoch die formalen Prüfkriterien gerade nicht vereinbart, sodass im Zweifelsfall das Vertragsunternehmen den Nachweis führen muss, dass der berechtigte Karteninhaber gehandelt hat. Kann dieser Nachweis nicht geführt werden, hat das Vertragsunternehmen keinen Anspruch auf den Verfügungsbetrag und muss eine evtl. schon erhaltene Zahlung gem. § 665 BGB zurückzuerstatten. Auf dieser Grundlage hat die Rückbelastungsklausel allenfalls deklaratorische Bedeutung und kann aus den Verträgen gestrichen werden. Das Mail-Order- bzw. Telephone-Order-Verfahren im Internet hätte für den Händler auf der Grundlage der früheren Rechtsprechung zur Folge, dass er einerseits mit dem üblichen Disagio der Kreditkartengesellschaft belastet würde,282 andererseits aber trotzdem das Missbrauchsrisiko zu tragen hatte. Durch die neuere höchstrichterliche Rechtsprechung hat sich jedoch die Risikoverteilung zu seinen Gunsten geändert, da danach die Kartengesellschaft – wie aufgezeigt – eine abstraktes Schuldversprechen abgibt und folglich die Forderung des Händlers ausgleichen muss, sofern diesen am eingetretenen Schaden nicht ausnahmsweise ein (Mit-)Verschulden trifft.
6.2 Umfang und Grenzen der Haftung im Online-Banking 6.2.1
Risikozurechnung
Im Online-Banking-Verfahren besteht das Hauptrisiko – ähnlich wie im ecVerfahren – im Einsatz der Legitimationsmedien durch einen Unberechtigten. Um das Problem der subjektiven Zurechnung zu verhindern, sahen die früheren OnlineBanking-Bedingungen eine Verteilung des Missbrauchsrisikos nach Verantwortungssphären vor. Auf das Verschulden kam es danach nur an, wenn feststand, dass eine der Vertragsparteien ihre Vertragspflichten schuldhaft verletzt hatte. Im Übrigen hatte diejenige Vertragspartei das Schadensrisiko zu tragen, in deren Verantwortungsbereich die Ursache für den Schaden gesetzt worden war. Die Bank hatte folglich für organisatorische Mängel einzustehen, während der Kunde für die missbräuchliche Verwendung seiner Legitimationsmedien haftete. Eine solche verschuldensunabhängige „Sphärenhaftung“ ist jedoch nach aktueller und gefestigter höchstrichterlicher Rechtsprechung sowohl im kaufmännischen als auch im nicht- kaufmännischen Bereich nur noch sehr eingeschränkt zulässig283, so dass sie 282
Genannt werden Spannen von 1 bis 8%, vgl. dazu Haun/Neuberger in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1873 ff.; Martinek/Oechsler in Bankrechts-Handbuch I., 2. Auflage 2001, § 67 Rn. 4.
283
Vgl. dazu BGH WM v. 23.11.1991 – XI ZR 128/90, 1991, 1110=WuB I. D 5.-7.91 Fervers; BGH v. 25.06.1991 – XI ZR 257/90, WM 1991, 1368; BGH v. 01.04.1992 – XII ZR 100/91, WM 1992, 1163=WuB IV. B. § 9 AGBG-16.92 Emmerich; BGH v. 18.03.1997 – XI ZR 117/96, WM 1997, 510=WuB I. D3.-3.97 Köndgen.
6.2 Umfang und Grenzen der Haftung im Online-Banking
115
in den meisten Fallkonstellationen als unzulässig angesehen werden muss. Diese Sphärenhaftung verstößt gegen das im deutschen Zivilrecht tragende Verschuldensprinzip, aus dem sich ergibt, dass derjenige für einen Schaden einzustehen hat, der ihn schuldhaft verursacht hat. In Allgemeinen Geschäftsbedingungen führen Klauseln, die eine Sphärenhaftung begründen, zu einem Verstoß gegen § 307 Abs. 1 und Abs. 2 Nr. 1 BGB und sind deshalb unwirksam.
6.2.2
Sorgfaltspflichten des Online-Banking-Teilnehmers
Ob und unter welchen Voraussetzungen im Falle eines Schadens ein Verschulden eines der Online-Banking-Teilnehmer vorliegt, hängt von den Sorgfaltspflichten ab, die die am Online-Banking-Verfahren Beteiligten einzuhalten haben. Der Online-Banking-Kunde muss in erster Linie die ihm zur Verfügung gestellten Medien, die eine Nutzung des Online-Banking-Service erlauben, d. h. PIN und TAN, sorgfältig vor einer missbräuchlichen Verwendung schützen, da derjenige, der über diese verfügt, Transaktionen zu Lasten des Online-Banking-Teilnehmers veranlassen kann. Folglich ist der Online-Banking-Teilnehmer für jeden missbräuchlichen Einsatz seiner PIN und / oder TAN verantwortlich, sofern er durch eine Sorgfaltspflichtverletzung schuldhaft dazu beigetragen hat.284 Der Online-Banking-Teilnehmer darf deshalb PIN und TAN nicht elektronisch speichern, außerdem hat er bei Eingabe der PIN darauf zu achten, dass keine weitere Person von ihr Kenntnis nehmen kann. Auch der TAN-Block ist so zu sichern, dass die darauf befindlichen Zahlen nur vom Online-Banking-Teilnehmer eingesehen werden können. Unter Berücksichtigung, dass das Online-BankingVerfahren von jedem Online-Banking-Zugang aus genutzt werden kann, korrespondieren die Anforderungen an die Sorgfaltspflichten mit dem Ort, an dem das Online-Banking-Verfahren ausgeführt wird. Wer einen Online-Zugang im Büro – ggf. sogar in einem Großraumbüro –, nutzt, muss in tatsächlicher Hinsicht wesentlich mehr für die Sicherheit seiner Medien tun, als derjenige, der von seinem heimischen Anschluss aus das Verfahren praktiziert. Sollte es in einem Raum nicht möglich sein, die Einsichtnahme durch Unberechtigte zu verhindern, kann die Sorgfaltspflicht des Online-Banking-Teilnehmers sogar so weit gehen, dass er in diesem Fall den Online-Banking-Service nicht nutzen darf. Den Inhaber des TAN-Blocks trifft weiterhin die Verpflichtung, seine TANListe so aufzubewahren, dass kein unberechtigter Dritter von ihrem Inhalt Kenntnis nehmen kann. Die Sorgfaltspflichten im Hinblick auf die Aufbewahrung der TAN-Liste korrespondieren mit den entsprechenden Verpflichtungen zur Aufbewahrung der ec-Karte.285 Die Sorgfaltsanforderungen dürfen jedoch nicht überzogen werden, da Artikel 3 Abs. 3 b Satz 2, Artikel 5 a und Artikel 5 c der Empfehlung 284
Vgl. dazu von Rottenburg, WM 1997, 2389; Schwintowski/Schäfer, § 12 Rn. 56 ff.; Kümpel, Bank- und Kapitalmarktrecht, Rn. 4.757.
285
Zu den Aufbewahrungspflichten vgl. Hartmann/Höche/Wand/Weber, Kurzkommentar Bankvordrucke, Teil 10, Nr. 47.001 7 Anm. 2.
116
6 Risiken des elektronischen Zahlungsverkehrs über Online-Medien
der Europäischen Kommission vom 30.07.1997 zu den Geschäften, die mit elektronischen Zahlungsverkehrinstrumenten getätigt werden (besonders zu den Beziehungen zwischen Emittenten und Inhabern solcher Instrumente),286 die Anforderung enthält, Sorgfaltspflichten in den entsprechenden Bedingungswerken genau zu beschreiben und nur solche dem Nutzer entsprechender Medien aufzuerlegen, deren Erfüllung von diesem vernünftigerweise erwartet werden kann.287 Sind die Legitimations- und Identifikationsmedien abhanden gekommen bzw. einem Dritten zur Kenntnis gelangt oder besteht ein entsprechender Verdacht und ist dies dem Inhaber der Medien bekannt oder rechnet er damit, trifft ihn die Verpflichtung, unverzüglich die Sperre zu veranlassen oder die erforderlichen Maßnahmen zu ergreifen, damit ein Zugang zu seinem Konto nicht mehr möglich ist. Insbesondere dann, wenn der Online-Banking-Teilnehmer seine PIN selbst ändern kann, muss er dies unverzüglich vornehmen. Kommt der Online-Banking-Teilnehmer dieser Verpflichtung nicht nach, kann er für einen missbräuchlichen Einsatz seiner Legitimations- und Identifikationsmedien selbst dann verantwortlich sein, wenn er nicht einmal schuldhaft zu ihrem Abhandenkommen beigetragen hat. Die Verpflichtung, die Legitimations- und Identifikationsmedien vor einer unberechtigten Nutzung zu sichern, wird ergänzt durch die Verpflichtung, im Falle eines Missbrauchs oder eines vermuteten Missbrauchs alle Maßnahmen zu ergreifen, um den Einsatz durch einen Unberechtigten zu verhindern.288 Im Gegenzug muss die Bank durch die Schaffung geeigneter Einrichtungen dafür Sorge tragen, dass es jederzeit möglich ist, eine Sperre zu veranlassen, wobei dazu auch gehört, dass der Online-Banking-Teilnehmer unmissverständlich und klar die Informationen erhält, wie er eine solche Sperre vornehmen kann.289 Weiterhin trifft den Online-Banking-Teilnehmer – wie jeden Bankkunden – die Verpflichtung, alle ihm zur Verfügung gestellten Konto- und Depotunterlagen unverzüglich auf Vollständigkeit und Richtigkeit hin zu überprüfen und alle Hinweise, die auf einen Missbrauch hindeuten könnten, seiner Bank entsprechend anzuzeigen. Diese Verpflichtung besteht jedoch nicht nur im Zusammenhang mit dem Online-Banking-Verfahren, sondern ist Bestandteil der Geschäftsbeziehung zum jeweiligen Kreditinstitut, weshalb Nr. 11 Abs. 4 der Allgemeinen Geschäftsbedingungen der Privatbanken bzw. Nr. 20 Abs. 1g der Allgemeinen Geschäftsbedingungen der Sparkassen die Verpflichtung enthält, alle dem Bankkunden zur Verfügung gestellten Unterlagen über seine Geschäftsbeziehung unverzüglich auf
286
Vgl. ABl EG Nr. L 208 vom 02.08.1997, 52 ff.
287
Vgl. dazu Hartmann/Höche/Wand/Weber, Kurzkommentar Bankvordrucke, Teil 10, Nr. 47.001 7.
288
Vgl. dazu Werner in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 19/67 ff; KG v. 10.01.1992 – 9 U 959/91, NJW 1992, 1051; OLG Zweibrücken v. 24.09.1990 – 4 U 31/90, NJW-RR 1991, 241.
289
Vgl. dazu Hartmann/Höche/Wand/Weber, Kurzkommentar Bankvordrucke, Teil 10, Nr. 47.001 8 Anm. 3.
6.2 Umfang und Grenzen der Haftung im Online-Banking
117
einen eventuellen Missbrauch hin zu überprüfen und einen entsprechenden Verdacht dem Kreditinstitut unverzüglich anzuzeigen. Möchte der Online-Banking-Teilnehmer, dass außer ihm noch weitere Personen als Bevollmächtigte den Online-Banking-Service zu Lasten seines Kontos- und / oder Depots in Anspruch nehmen können, erhält ein Bevollmächtigter auf Antrag eine eigene PIN und eigene TAN. Es ist deshalb weder zulässig noch notwendig, PIN und TAN einem Dritten für Transaktionen zu überlassen. PIN und TAN können nur dann als höchstpersönliche Legitimations- und Identifikationsmedien fungieren, wenn sie ausschließlich einer einzigen Person zur ausschließlichen Nutzung überlassen werden. Wäre es zulässig diese zu übertragen, würde damit das tatsächliche Risiko einer unberechtigten Kenntnisnahme und der missbräuchlichen Verwendung durch Dritte in erheblichem Umfange erhöht. PIN und TAN können ihre Funktion als höchstpersönliche Identifikations- und Legitimationsmedien, die mit einer handschriftlichen Unterschrift vergleichbar sind, nur erfüllen, wenn sie unter keinen Umständen übertragen werden dürfen. Folglich sind all diejenigen zur Nutzung dieser Medien nicht berechtigt, denen sie nicht als höchstpersönliche Legitimationsmedien zur Verfügung gestellt werden.290 Außerdem muss der Online-Banking-Teilnehmer, um das Risiko des „Phishing“ und „Pharming“ zu minimieren, im Rahmen des Zumutbaren Virenschutzprogramme auf seinem Rechner installieren und regelmäßig aktualisieren.
6.2.3
Sorgfaltspflichten der Bank
Für ein Kreditinstitut können sich Haftungsrisiken daraus ergeben, dass der Zugangskanal zum Online-Banking gestört wird. Unabhängig davon, ob das OnlineBanking-Verfahren lediglich als alleiniger oder zusätzlicher Zugangskanal zum Konto als Service innerhalb der üblichen Banköffnungszeiten oder als 24-StundenService angeboten wird, unterliegen in Allgemeinen Geschäftsbedingungen eventuell enthaltene Haftungsbeschränkungen für Zugangsstörungen der Inhaltskontrolle gem. §§ 307 ff BGB. Daraus folgt, dass eine Haftungsfreizeichnung für technisch oder betrieblich bedingte Einschränkungen des Online-Banking-Services wegen eines Verstoßes gegen § 309 Nr. 7b BGB unzulässig sein kann, soweit eine solche Klausel auch grob schuldhaft verursachte Störungen erfassen soll.291 Das den Online-Banking-Service anbietende Kreditinstitut ist durch den OnlineBanking-Vertrag verpflichtet, das Online-Banking-System funktionsfähig und
290
Nutzungsberechtigung der Zugangsmedien Vgl. Hartmann/Höche/Wand/Weber, Kurzkommentar Bankvordrucke, Teil 10, Nr. 47.001, S. 4 B III. Nr. 2; Werner in Hellner/Steuer, Bankrecht und Bankparaxis, Rn. 19/41 ff.
291
Vgl. auch zur alten Regelung in § 11 Nr. AGBG: BGH v. 12.12.2000, XI ZR 138/00, MMR 2001, 225.
118
6 Risiken des elektronischen Zahlungsverkehrs über Online-Medien
betriebssicher zu erhalten.292 Allerdings trifft im Falle einer Störung des OnlineBanking-Zugangs auch den Online-Banking-Nutzer die sich aus § 254 Abs. 2 Satz 1 BGB ergebende Schadensminderungspflicht, da der Bankkunde im Falle eines drohenden Schadens alle Maßnahmen ergreifen muss, um den Schadenseintritt oder zumindest eine Schadensintensivierung zu verhindern. Hat folglich der OnlineBanking-Teilnehmer Kenntnis von einer Störung seines Online-Banking-Zugangs, muss er, soll sein Auftrag zeitgebunden oder schnellstmöglich ausgeführt werden, versuchen, über ein anderes Medium mit seiner Bank in Verbindung zu treten. Sollte er dies schuldhaft unterlassen, kann sein Schadensbeitrag u. U. so hoch sein, dass dahinter der Schadensbeitrag des Kreditinstituts vollständig zurücktritt und er alleine den eingetretenen Schaden zu tragen hat. Im Rahmen des normalen Online-Banking-Verfahrens dürfte in der Regel bei einer Störung des Zugangs kein erhöhtes Schadensrisiko bestehen, da die OnlineBanking-Bedingungen, die von den Bankverbänden empfohlen werden, die Regelung enthalten, dass die Bearbeitung der Aufträge im Online-Banking im Rahmen des ordnungsgemäßen Arbeitsablaufs erfolgt.293 Kommt es folglich zu einer Störung des Online-Banking-Zugangs und der Online-Banking-Kunde bemerkt dies, muss er versuchen, während der normalen Geschäftszeiten sein Kreditinstitut persönlich, mittels Fax, schriftlich oder telefonisch zu erreichen, um seinen Auftrag auf diesem Weg zu erteilen, falls dieser zeitkritisch sein sollte. Schließlich hängt die Haftung eines Kreditinstituts auch von der Art des erteilten Auftrags ab. Wird ein neues Geschäft angebahnt, zu dessen Abschluss ein Kreditinstitut nicht verpflichtet ist, kann die Störung des Online-Banking-Zugangs – selbst wenn diese schuldhaft vom Kreditinstitut verursacht worden sein sollte – Ersatzansprüche nicht begründen, denn in einem solchen Fall besteht noch kein Vertragsverhältnis. Allerdings gilt diese Einschränkung dann nicht, wenn das Institut den Eindruck vermittelt, es werde unverzüglich den Vertrag abschließen und danach die gewünschte Bankdienstleistung erbringen, da dann gem. § 311 Abs. 2 Nr. 1 oder Nr. 2 BGB bereits ein Schuldverhältnis gem. § 241 Abs. 2 BGB zustande gekommen ist. Wird ein Auftrag erteilt, den ein Kreditinstitut nicht ausführen muss, sondern den es ablehnen kann, kann es auch nicht haften, selbst wenn es schuldhaft den Zugang verhindert, es sei denn, es ist ein Tatbestand geschaffen worden, aufgrund dessen der Online-Banking-Teilnehmer darauf vertrauen durfte, der Auftrag sei seinem Kreditinstitut zugegangen und werde von diesem unverzüglich bearbeitet. Auch in einem solchen Fall ergibt sich aus § 311 Abs. 2 Nr. 1 BGB die schuldrechtliche Pflicht, den Bankkunden darüber zu unterrichten, dass der Zugangskanal gestört ist.
292
Vgl. Köndgen, Neue Entwicklungen im Bankhaftungsrecht, 43; Hellner in FS-Werner 251 (277); Fervers, WM 1988, 1037 (1041); Münch, NJW CoR 1989, 7 (8).
293
Vgl. dazu Hartmann/Höche/Wand/Weber, Kurzkommentar Bankvordrucke, Teil 10, 47.001 5f Anmerkung VI. Nr. 5.
6.3 Besondere Risiken der POS-Verfahren
119
6.3 Besondere Risiken der POS-Verfahren Da die „Point-of-Sale-Verfahren“ (POS-Verfahren), wie das electronic-cashVerfahren oder das frühere POZ-Verfahren (= Point of Sale ohne Zahlungsgarantie) auf dem körperlichen Einsatz von Bankkunden- oder ec-Karten basieren, ist der Einsatz dieser Verfahren im Internet (z. Zt. noch?) nicht möglich. Folglich erübrigt sich hier eine Untersuchung, welche speziellen Risiken sich aus einem solchen Einsatz ergeben könnten.
6.4 Spezielle Haftungsrisiken für das Lastschriftverfahren im Internet 6.4.1
Die Form der Einziehungsermächtigung
Wie im Zusammenhang mit dem Lastschrift-Verfahren im Internet im Einzelnen dargelegt, ist dieses bisher nur unter engen Voraussetzungen zur Verwendung über Fernkommunikationsmedien geeignet. Ein Einsatz dieses Verfahrens schied in der Vergangenheit in größerem Umfange schon deshalb aus, da, wie sich aus Abschnitt I. Nr. 1 a des Lastschriftabkommens ergibt,294 die Einziehungsermächtigung der Schriftform bedarf. Diese Form konnte jedoch in der Vergangenheit über Online-Medien nicht eingehalten werden. Das in Anlage 3 zum Lastschriftabkommen vorgesehene Einziehungsermächtigungs-Lastschriftverfahren ohne Unterschrift ist auf wenige Ausnahmetatbestände beschränkt und ist nicht als rechtliche Basis für die generelle Einführung des Einziehungsermächtigungs-Lastschriftverfahrens über Online-Medien geeignet.295 Mit Einführung der elektronischen Form in § 126a BGB bzw. der telekommunikativen Übermittlung in § 127 Abs. 2 BGB sind jedoch die Voraussetzungen dafür geschaffen worden, die gesetzliche und die gewillkürte Schriftform durch elektronische Formen zu substituieren. Unabhängig von der Frage, ob die telekommunikative Form gem. § 127 Abs. 2 BGB als Ersatz für die eigenhändige Unterschrift bei der Einziehungsermächtigung genügt, um das Schriftformerfordernis gem. Abschnitt I. Nr. 1 a des Lastschriftabkommens zu erfüllen, oder ob dafür die elektronische Form gem. § 126 a BGB erforderlich ist,296 ist das Einziehungsermächtigungs-Lastschriftverfahren auch oder gerade beim Einsatz über OnlineMedien mit den diesem Verfahren immanenten Risiken zusätzlich belastet, die nicht unberücksichtigt bleiben sollten.297 In einer Entscheidung vom 06.06.2000298 hat 294
295 296
297
Vgl Werner in Hopt, Vertrags- und Formularbuch zum Handels-, Gesellschafts-, Bankund Transportrecht, IV. D.2 Anm. 5, 979. Zu diesem Verfahren Krepold in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/384. Vgl. zur Diskussion Werner, BKR 2002, 11 (14) und Schneider BKR, 2002, 384 mit Anmerkung Werner, 387. Zu den Risiken des Lastschriftverfahrens zusammenfassend van Gelder, WMSonderbeilage Nr. 7/2001, 7 ff.
120
6 Risiken des elektronischen Zahlungsverkehrs über Online-Medien
der BGH erneut bestätigt, dass im Einziehungsermächtigungs-Lastschriftverfahren der Lastschriftschuldner zeitlich unbegrenzt berechtigt ist, der Belastung auf seinem Konto zu widersprechen, denn nach ständiger höchstrichterlicher Rechtsprechung ist die Kontobelastung aufgrund einer dem Lastschriftgläubiger erteilten Einziehungsermächtigung im Verhältnis zum Lastschriftschuldner grundsätzlich unberechtigt.299 Dies hat zur Folge, dass der Lastschriftschuldner berechtigt ist, einer Belastung seines Kontos mit dem Lastschriftbetrag selbst dann zu widersprechen, wenn er dem Lastschriftgläubiger eine wirksame Einziehungsermächtigung erteilt hat und die auszugleichende Forderung besteht. Aufgrund eines Widerspruchs muss deshalb die Bank des Schuldners dessen Konto in jedem Fall wieder erkennen, selbst wenn sie weiß, dass er gegenüber dem Lastschrifteinreicher eine entsprechende Zahlungsverpflichtung hat.300 Nach höchstrichterlicher Rechtsprechung ist jeder Widerspruch beachtlich.
6.4.2
Das Widerspruchsrisiko
Legt der Lastschriftschuldner Widerspruch gegen die Belastung seines Kontos ein, muss sein Kreditinstitut dieses mit dem Lastschriftbetrag wieder erkennen. Sofern dies innerhalb von sechs Wochen nach Einreichung der Lastschrift geschieht, ist gem. Abschnitt III. Nr. 1 die Inkassostelle verpflichtet, der Zahlstelle den Lastschriftbetrag wieder zu vergüten.301 Üblicherweise sehen die Vereinbarungen über den Einzug von Forderungen durch Lastschriften, die zwischen der Inkassostelle und dem Lastschrifteinreicher abgeschlossen werden, vor, dass der Lastschriftgläubiger sein Einverständnis zu zeitlich unbefristeten Rücklastschriften erklärt,302 so dass der Lastschrifteinreicher letztlich das Risiko des Widerspruchs des Zahlungspflichtigen zu tragen hat. Er muss im Falle eines Widerspruchs versuchen, den Betrag außerhalb des Lastschriftverfahrens gegen seinen Schuldner geltend zu machen. Als Anspruchsgrundlage dafür kommt § 826 BGB in Betracht, sofern der Zahlungspflichtige durch die Einziehungsermächtigung das beim Zahlungsempfänger hervorgerufene Vertrauen auf die ordnungsgemäße Abwicklung der Zahlung durch den Widerspruch bewusst verletzt hat.303 Darüber hinaus ist in einem unbe298
Vgl. BGH v. 06.06.2000 – XI ZR 258/99, WM 2000, 1577 ff, darin bestätigend die Vorinstanz OLG Dresden v. 28.06.1999 – 3963/98, WM 2000, 566=WuB I. D 2./2.00 Häuser.
299
Vgl. van Gelder, WM 2000, 101; ders. in Bankrechts-Handbuch I., § 57 Rn. 37 ff.
300
Vgl. OLG Düsseldorf v. 24.11.2000 – 22 U 94/00, NJW-RR 2001, 557.
301
Vgl. Kümpel, Bank- und Kapitalmarktrecht, Rn. 4.469; van Gelder in BankrechtsHandbuch I., § 58 Rn. 139 und 143; Gößmann in Bankrechts-Handbuch I., Rn. 196 und 198; Canaris, Bankvertragsrecht, Rn. 588.
302
Vgl. dazu Krepold in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/397 ff.
303
Vgl. BGHZ 95, 103=NJW 1985, 2326; BGH v. 15.06.1987 – II ZR 301/86; BGHZ 100, 153=NJW 1987, 2370; Schwintowski/Schäfer, Bankrecht, § 8 Rn. 62 und 68; Krepold in
6.4 Spezielle Haftungsrisiken für das Lastschriftverfahren im Internet
121
rechtigten Widerspruch auch eine Verletzung vertraglicher Nebenpflichten des Valutaverhältnisses zu sehen, so dass auch aufgrund dessen Schadensersatzansprüche aus § 280 BGB in Betracht kommen können. Nachdem die Sechs-Wochen-Frist abgelaufen ist, ist die Inkassostelle jedoch nicht mehr verpflichtet, die Lastschrift wieder aufzunehmen, während die Zahlstelle den Widerspruch in jedem Fall beachten muss. Tritt die Zahlstelle nach Ablauf der im Lastschriftabkommen vorgesehenen Sechs-Wochen-Frist an die Inkassostelle mit der Bitte heran, die Lastschrift wieder aufzunehmen, kann darin allenfalls ein Auftrag gesehen werden, den Lastschriftbetrag beim Lastschriftgläubiger wieder einzuziehen. Die Inkassostelle muss jedoch die Lastschrift zumindest dann nicht wieder aufnehmen, wenn sie den Lastschriftbetrag vom Lastschrifteinreicher nicht einziehen kann. Das Risiko der Uneinbringlichkeit der Lastschrift liegt nach Ablauf von sechs Wochen bei der Zahlstelle. Hat die Inkassostelle jedoch mit dem Lastschrifteinreicher die von den Bankverbänden empfohlene Rahmenvereinbarung über den Einzug von Forderungen mittels Lastschriften abgeschlossen, folgt daraus, dass der Zahlungsempfänger mit einer jederzeitigen Rückbelastung der Lastschriftbeträge einverstanden ist. Folglich kann sein Konto dann mit dem Lastschriftbetrag wieder belastet werden, wenn es die erforderliche Deckung aufweist oder ein Dispositionskredit noch nicht ausgeschöpft wurde. In diesem Fall geht der Lastschriftbetrag wieder an den Lastschriftschuldner zurück, so dass der Lastschrifteinreicher das Risiko der Uneinbringlichkeit der der Lastschrift zugrunde liegenden Forderung trägt und versuchen muss, den Lastschriftbetrag außerhalb des Lastschriftverfahrens wieder einzuziehen. Nimmt jedoch die Inkassostelle die Lastschrift nicht wieder auf, weil sie beim Lastschriftgläubiger keinen Rückgriff nehmen kann, muss die Zahlstelle versuchen, den Lastschriftbetrag vom Lastschriftgläubiger außerhalb des Lastschriftverfahrens zurück zu erhalten. Die Inkassostelle ist jedoch nicht berechtigt, willkürlich die Wiederaufnahme einer Lastschrift abzulehnen. Zwar ist sie nach Ablauf der im Lastschriftabkommen vorgesehenen Sechs-Wochen-Frist nicht verpflichtet, eine Lastschrift wieder aufzunehmen. Aus dem durch das Lastschriftabkommen zwischen den Kreditinstituten begründeten Vertragsverhältnisses ist die Inkassostelle jedoch verpflichtet, sich auf Bitten der Zahlstelle um die Rückholung des Lastschriftbetrags zu bemühen. Sofern der Lastschrifteinreicher noch Kunde der Inkassostelle und solvent ist, ist die Rückbelastung in der Regel auch kein Problem, da die Mustervereinbarung der Bankverbände für die Bearbeitung von Einziehungsermächtigungs-Lastschriften durch den Lastschrifteinreicher keine zeitliche Begrenzung für eine Rückbelastung vorsieht.304
Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/362; OLG Düsseldorf, WM 1976, 935; OLG Hamm v. 27.09.1983 – 27 U 270/82, WM 1984, 300=WuB I. D 2.-4.85 Hadding; LG Münster v. 03.10.1984 – 16 O 295/84, WM 1985, 412=WuB I. D 2.-2.85 Obermüller. 304
Vgl. Krepold in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/397.
122
6 Risiken des elektronischen Zahlungsverkehrs über Online-Medien
Sollte die Inkassostelle den Lastschrifteinreicher nicht belasten können, muss die Zahlstelle versuchen, vom Lastschriftgläubiger den Lastschriftbetrag zurück zu erhalten. Die Rechtsgrundlage dafür ist jedoch umstritten. Zum Teil wird darin ein unmittelbarer Kondiktionsanspruch der Zahlstelle gegen den Zahlungsempfänger gesehen,305 zum Teil wird von einem Kondiktionsanspruch der Zahlstelle gegen die Inkassostelle ausgegangen, der jedoch nur auf das geht, was die Inkassostelle selbst erlangt hat, wobei es sich dabei um den Anspruch der Inkassostelle gegen den Zahlungsempfänger handelt.306 Wirtschaftlich unterscheiden sich diese Ansätze kaum, denn in beiden Fällen trägt die Zahlstelle das Risiko der Uneinbringlichkeit der Forderung.307 Rechtsgrundlage für den Bereicherungsanspruch ist § 812 Abs. 1 Satz 1 Fall 2 BGB.308
6.4.3
Die Genehmigung der Lastschriftbuchung
Um dieses spezielle, aus dem Lastschriftverfahren resultierende Risiko zu reduzieren, sind die Allgemeinen Geschäftsbedingungen der Banken und Sparkassen zum 01.04.2002 überarbeitet worden. Nr. 7 Abs. 3 der AGB-Banken und Nr. 7 Abs. 4 Satz 4 der AGB-Sparkassen enthalten eine Regelung, wonach Belastungen aufgrund von Einziehungsermächtigungslastschriften als genehmigt gelten, sofern der Kontoinhaber seine Einwendungen gegen die im Saldo des nächsten Rechnungsabschlusses enthaltenen Belastungsbuchungen aufgrund von Einziehungsermächtigungslastschriften nicht spätestens vor Ablauf von 6 Wochen nach Zugang dieses Abschlusses geltend macht. Ein Unterlassen ist als Genehmigung der Belastung anzusehen, vorausgesetzt, die Bank hat ihn auf diese Rechtsfolge bei Erteilung des Rechnungsabschlusses nochmals ausdrücklich hingewiesen.309 Durch eine solche Regelung können die mit dem Lastschriftverfahren verbundenen Widerspruchsrisiken zeitlich zulässigerweise befristet werden.310
6.4.4
Das Nachweisrisiko
Neben diesem materiellen Risiko besteht beim Lastschriftverfahren, das mittels qualifizierter elektronischer Signatur gem. § 126a BGB erteilt wurde, noch das Problem, wie im Streitfall der Nachweis geführt werden kann, dass auch tatsächlich 305
Vgl. van Gelder in Bankrechts-Handbuch I., § 58 Rn. 193.
306
Zum Bereicherungsausgleich zwischen Zahlstelle und Zahlungsempfänger vgl. Krepold in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/367 ff.
307
Vgl. Krepold Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/479.
308
Vgl. Canaris, WM 1980, 360; Krepold in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/371.
309
Vgl. dazu Schebesta in Lang/Assies/Werner, Schuldrechtsmodernisierung in der Bankpraxis, Heidelberg 2002, § 9 IX Nr. 2 d, 263.
310
Vgl. dazu van Gelder, WM-Sonderbeilage 7/2001, 8f.
6.4 Spezielle Haftungsrisiken für das Lastschriftverfahren im Internet
123
der Zahlungspflichtige eine entsprechende Erklärung abgegeben hat. § 371a ZPO – diese Vorschrift entspricht § 292a ZPO a.F. – regelt diesbezüglich, dass der Anschein der Echtheit einer in der elektronischen Form gem. § 126a BGB abgegebenen Willenserklärung ausschließlich durch Tatsachen erschüttert werden kann, die es ernsthaft als möglich erscheinen lassen, dass die entsprechende Erklärung nicht mit dem Willen des berechtigten Signaturschlüsselinhabers abgegeben wurde.311 Damit sind die Grundsätze zum Anscheinsbeweis in § 371a ZPO gesetzlich normiert worden, so dass für mittels qualifizierter elektronischer Signatur gem. § 126a BGB abgegebener Einziehungsermächtigungen diese Grundsätze Anwendung finden.312 Folglich kann in einem solchen Fall der Berechtigte den Anscheinsbeweis nur erschüttern, in dem er schlüssig Tatsachen vorträgt und ggf. auch beweist, die einen abweichenden Geschehensablauf ernsthaft möglich erscheinen lassen. Der Einsatz der elektronischen Signatur begründet jedoch keine klare und verbindliche Zurechnung, auf die der Erklärungsempfänger vertrauen dürfte.313 Andererseits ist der Verwender einer solchen elektronischen Signatur von der Verpflichtung enthoben, die Sicherheit der qualifizierten elektronischen Signatur nachzuweisen, da diese Kraft gesetzlicher Regelung als sicher anzusehen ist. Sofern jedoch die telekommunikative Form gem. § 127 Abs. 2 BGB zulässigerweise eingesetzt wird, fehlen entsprechende beweisrechtliche Regelungen. Sollte in einem solchen Fall die Einziehungsermächtigung mittels eines Legitimationsmediums erteilt werden, dessen höchstpersönliche Zuordnung und Sicherheit einer qualifizierten elektronischen Signatur entspricht, ohne jedoch als qualifizierte elektronische Signatur nach dem Signaturgesetz angesehen werden zu können, dürften die allgemeinen Grundsätze zum Anscheinsbeweis Anwendung finden. Es gelten dann § 371a ZPO entsprechende Regelungen. Sollte jedoch das eingesetzte Medium hinsichtlich seines Sicherheitsniveaus und / oder seiner höchstpersönlichen Zuordnung nicht mit der elektronischen Signatur vergleichbar sein, können die Grundsätze zum Anscheinsbeweis keine Anwendung finden. Folglich hat dann derjenige, der sich darauf beruft, eine wirksame Einziehungsermächtigung sei erteilt worden, den Vollbeweis dafür zu erbringen, dass auch tatsächlich der Kontoinhaber, zu dessen Lasten die Lastschrift eingezogen wurde, die Ermächtigung erteilt hat. Kann er diesen Beweis nicht führen – was in der Regel auch schwierig sein dürfte – hat er das daraus resultierende Risiko zu tragen. Dieses wird in erster Linie beim Lastschrifteinreicher verbleiben, da er sich im Verhältnis zur Inkassostelle in der Regel verpflichtet hat, mit einer Rückbelastung der Lastschrift jederzeit einverstanden zu sein.
311
Vgl. Godefroid, DStR 2001, 400, 404.
312
Zu § 292a ZPO vgl. Oertel, MMR 2001, 419.
313
Vgl. dazu Godefroid, DStR 2001, 400, 404; Schroeter, WM 2000, 2134; Rossnagel, MMR 4/2001 Editoral 2.
124
6 Risiken des elektronischen Zahlungsverkehrs über Online-Medien
6.5 Risiken der GeldKarte im Internet Mittlerweile ist es möglich, die Karte im Internet einzusetzen, soweit der Zahlungspflichtige über einen entsprechenden Chipkartenleser verfügt. Hinsichtlich der damit verbundenen Risiken ist zwischen verschiedenen Fallkonstellationen zu unterscheiden:
6.5.1
Risiken des Aufladevorgangs
Soweit es um den Aufladevorgang geht, gelten ähnliche Grundsätze wie für den Einsatz einer ec-Karte bei Abhebungen an Geldautomaten. Da die GeldKarte nur unter Einsatz einer PIN zu Lasten des Kontos des Karteninhabers aufgeladen werden kann, gelten sowohl für den Ablauf dieser Transaktion als auch für das Sicherheitsniveau ähnliche Überlegungen hinsichtlich der Risikoverteilung wie beim Einsatz einer ec-Karte mit PIN bei Geldabhebungen oder Transaktionen im electronic-cash-Verfahren.314 Folglich gilt auch im Falle eines behaupteten missbräuchlichen Einsatzes einer GeldKarte zur Aufladung an Geldautomaten, dass die Bank ihren Aufwendungsersatzanspruch für die Aufladung im Zweifelsfall nur geltend machen kann, wenn der Nachweis geführt wird, dass entweder der berechtigte Karteninhaber gehandelt hat oder dieser mit den ihm zur Verfügung gestellten Legitimationsmedien nicht sorgfältig umgegangen ist, sofern der Aufladevorgang bestritten wird. Allerdings kommt dem Kreditinstitut in diesem Fall die Rechtsfigur des Beweises des ersten Anscheins zu gute, wonach der Einsatz der richtigen Geldkarte und der dazugehörigen PIN als Beleg dafür anzusehen ist, dass der Karteninhaber selbst verfügt oder durch einen unsorgfältigen Umgang mit den ihm zur Verfügung gestellten Medien zum Missbrauch beigetragen hat („alternativer Anscheinsbeweis“), mit der Folge, dass er, sofern er keine Umstände darlegen und ggf. beweisen kann, aus denen sich ergibt, wie es ohne sein Verschulden zu einem Missbrauch der ihm überlassenen Medien kommen konnte, den dadurch verursachten Schaden zu tragen hat315, sofern die Bank kein Mitverschulden gem. § 254 BGB trifft. Ist die GeldKarte unter Einsatz einer anderen Karte aufgeladen worden und behauptet der Inhaber dieser Karte, er habe nicht gehandelt, gelten die für diese Karte maßgeblichen Grundsätze 316, sodass auch hier der Anscheinsbeweis zur Anwendung kommt, sofern die GeldKarte zu Lasten einer anderen ecKarte oder Kreditkarte jeweils unter Verwendung einer PIN aufgeladen wird. Die Geldkartenbedingungen enthalten deshalb – wie zum Beispiel in Abschnitt III. Nr. 2.6 der ec-Kartenbedingungen privaten Bankgewerbes – eine Regelung, wonach der Karteninhaber bei leichtfahrlässigem Handeln 10%, bei grob fahrlässigem 100% des verursachten Schadens zu tragen hat. Von grober Fahrlässigkeit 314
Vgl. Blaurock/Münch KuR 2000, 97, 106; Werner, MMR 1998, 338, 340.
315
Vgl. Werner, MMR 1998, 338, 340.
316
Vgl. Gößmann in Bankrechts-Handbuch I., § 68, Rn. 16.
6.5 Risiken der GeldKarte im Internet
125
ist danach insbesondere dann auszugehen, wenn der Karteninhaber den Kartenverlust seiner Bank oder dem Zentralen Sperrannahmedienst schuldhaft nicht unverzüglich gemeldet, die persönliche Geheimzahl auf der Karte vermerkt oder zusammen mit der Karte verwahrt oder die persönliche Geheimzahl einer anderen Person mitgeteilt hat und dadurch der Missbrauch ermöglicht wurde.317
6.5.2
Missbrauchsrisiken bei Verwendung der Karte
Soweit es um das Abhandenkommen einer aufgeladenen GeldKarte geht, hat, wie sich beispielsweise aus Abschnitt III. Nr. 2.5 der ec-Kartenbedingungen des privaten Bankgewerbes ergibt, der Karteninhaber das Verlustrisiko zu tragen.318 Dies ist insbesondere darauf zurückzuführen, dass die GeldKarte bestimmungsgemäß ein Bargeldsurrogat sein soll, das zumindest in der GeldKarten-Funktionalität keinem Inhaber persönlich zur ausschließlichen Nutzung zugeordnet wird und folglich der Einsatz der Karte nicht vom Einsatz eines Passwortes abhängig ist, so dass jeder – und damit auch ein Dieb oder Finder – in der Lage ist, die Karte in gleicher Weise wie Bargeld zu verwenden. Außerdem ist die GeldKarte als anonymes Zahlungsinstrument ausgestaltet, so dass jeder, der in ihrem Besitz ist, sie einsetzen kann.319 Dieses, letztlich verschuldensunabhängige Haftungsrisiko des GeldKarteninhabers lässt sich mit der Zweckbestimmung der GeldKarte als Bargeldsurrogat rechtfertigen, während ansonsten auf die Grundsätze zur Sphärenhaftung zurückgegriffen werden müsste.320 Der GeldKarteninhaber hat jedoch nicht das Risiko zu tragen, dass seine Karte dupliziert wird. Sollte deshalb nachweislich eine GeldKarte unter Verwendung der Daten eines Karteninhabers gefälscht worden sein, hat dieses Risiko das die GeldKarte emittierende Institut zu tragen, soweit der Karteninhaber nicht schuldhaft dazu beigetragen hat, dass es zu einer Duplizierung kommen konnte. Allerdings ist dabei auch das Sicherheitsniveau der GeldKarte zu berücksichtigen. Sollte es problemlos möglich sein, beim Einsatz einer solchen im Händlerterminal die Kartendaten zu kopieren, läge eine Lücke im Sicherheitssystem vor, die nicht dem Karteninhaber zugerechnet werden könnte. Ist dagegen die Duplizierung nicht beim normalen Karteneinsatz, sondern nur möglich, wenn der unberechtigte Nutzer die Originalkarte dazu benötigt und die Kartendaten nur aufwendig herausgelesen und dupliziert werden können, kann wiederum aus einem Duplikat nur die Schlussfolgerung gezogen werden, dass der Karteninhaber durch ein sorg317
Vgl. dazu Werner, Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 6/1790 unter Verweis auf Rn. 6/1737 ff.
318
Vgl. dazu Blaurock/Münch KuR 2000, 97, 106.
319
Zur Ähnlichkeit mit Bargeld vgl. Blaurock/Münch, KuR 2000, 97, 106; Kümpel, WM 1997, 1037, 1042.
320
Vgl. zu den verschiedenen Ansätzen Werner, Geldverkehr im Internet – Ein Praxisleitfaden, 197 ff.
126
6 Risiken des elektronischen Zahlungsverkehrs über Online-Medien
faltspflichtwidriges Verhalten zu einem Missbrauch seiner Karte beigetragen haben muss. Allerdings kann auch dies eine Haftung nur dann begründen, wenn die Karte nicht übertragen werden darf und sorgfältig aufbewahrt werden muss. Dem steht jedoch die Ausgestaltung als anonymes Zahlungsmittel entgegen. Aus dem Verbot, die ec-Karte Unberechtigten zu überlassen, kann nicht gleichzeitig auch die Schlussfolgerung gezogen werden, dass auch die GeldKarte, die in der Regel in eine ec-Karte implementiert ist, nicht übertragen werden darf. Die Pflicht zur sorgfältigen Aufbewahrung ist deshalb in erster Linie als Ausfluss aus der ec-Karten-Funktionalität anzusehen. Allerdings bestimmen die ecKarten-Bedingungen z. B. in Abschnitt II Nr. 6.3, dass die Karte auch sorgfältig aufzubewahren ist, um einen Verbrauch des in die Karte eingeladenen Betrags zu verhindern. Daraus ist zu schlussfolgern, dass die zumindest in eine ec-Karte implementierte oder einem Kontoinhaber zugeordnete GeldKarte vor Verwendung durch einen Unberechtigten gesichert werden muss und folglich der Karteninhaber für einen schuldhaften Missbrauch einstehen muss, sollte er die Karte weitergegeben oder nicht sorgfältig aufbewahrt haben. Dies gilt allerdings nur für den vom Karteninhaber zu beherrschenden Bereich. Er hat jedoch keine Möglichkeit, auf die Sicherheitstechnik der Karte Einfluss auszuüben. Diese ist folglich nur vom Kartenemittenten beherrschbar, so dass er für eine Sicherheitstechnologie sorgen muss, durch die eine Duplizierung praktisch ausgeschlossen werden kann. Im Ergebnis lässt sich die Risikozuweisung in erster Linie aus der Zweckrichtung der Karte ableiten. Dogmatisch begründet werden kann dies unter Rückgriff auf den Grundgedanken des § 935 Abs. 2 BGB.321 Unter Berücksichtigung, dass es ausschließlich im Ermessen des Karteninhabers liegt, wie viele Werteinheiten er in dieses Medium einlädt und damit bereit ist, das damit verbundene Verlustrisiko zu tragen, ist der Grundgedanke des § 935 Abs. 2 BGB auf die GeldKarte übertragbar, woraus folgt, dass der Eigentümer von Bargeld das Risiko des Abhandenkommens auch ohne sein Verschulden zu tragen hat. Aufgrund dessen können hier die einschränkenden Grundsätze zur Zulässigkeit der Sphärenhaftung außer Betracht bleiben und auf den sich aus § 935 Abs. 2 BGB ableitbaren Angemessenheitsmaßstab zurückgegriffen werden.322 Dies gilt – wie bereits ausgeführt – jedoch nur für den zum Zeitpunkt des Verlusts bereits eingeladenen Kartenbetrag, nicht jedoch für die Duplizierung einer Karte oder den unberechtigten Aufladevorgang. Hier gelten die gleichen Haftungsgrundsätze wie für die ec-Karte. Sollte eine Geldkarte im Internet eingesetzt worden sein, ohne dass diese abhanden gekommen ist und ohne dass geklärt werden kann, wie sie missbräuchlich hat verwendet werden können – insbesondere kommt dies dann in Betracht, wenn 321
Vgl. Kümpel, WM 1997, 1037 (1042); Pfeiffer, NJW 1997, 1036 (1039); Wand in Hadding, Kartengesteuerter Zahlungsverkehr, Berlin 1999, 97 (123); Gößmann in Bankrechts-Handbuch I., § 68 Rn. 27.
322
Vgl. Kümpel, WM 1997, 1037, 1041 ff; Gößmann, in: Bankrechts-Handbuch I., § 68 Rn. 27 und Rn. 29.
6.5 Risiken der GeldKarte im Internet
127
der Ladebetrag unverändert geblieben ist –, ist dieses Risiko nicht vom Karteninhaber zu tragen, sofern er nicht nachweislich schuldhaft zu diesem Missbrauch beigetragen hat. Da die GeldKarte außerdem kein persönlich zugeordnetes Medium ist, denn der Kartenakzeptant ist nicht verpflichtet zu überprüfen, ob der Inhaber der Karte auch tatsächlich der Berechtigte ist,323 weshalb die Karte als anonymes Zahlungsmittel geeignet ist, kann der Einsatz einer Karte, die ohne Verwendung einer PIN oder eines Codeworts erfolgt, nicht den Beweis des ersten Anscheins dafür begründen, dass der Karteninhaber selbst verfügt hat oder mit der Karte unsorgfältig umgegangen ist. Ist unaufklärbar, wie es zum Karteneinsatz hat kommen können und liegt die Vermutung nahe, dass es sich um eine ge- oder verfälschte Karte gehandelt hat, kann das daraus resultierende Risiko auch auf der Basis des sich aus § 935 BGB ergebenden Grundgedankens nicht dem Karteninhaber zugerechnet werden. Ein solches Risiko muss deshalb vom die Karte ausgebenden Institut getragen werden, sofern die Kartendaten (technisch) von einem zum Verfahren zugelassenen Händlerterminal akzeptiert worden sind.
323
Vgl. Wand, in: Hadding, Kartengesteuerter Zahlungsverkehr, 97, 102.
7
Netzgeld
7.1 Beispiele aktueller Netzgeld-Verfahren Im Bereich der speziellen Internet-Zahlungsverfahren ist es in den letzten Jahren nach einer anfänglichen Euphorie in der zweiten Hälfte der 90er-Jahre zu einer Bereinigung gekommen. Die von deutschen Kreditinstituten angebotenen Verfahren CyberCash324 und eCash325sind in den Jahren 2000 und 2001 eingestellt worden,326 da sie sich am Markt nicht im gewünschten Umfange haben durchsetzen können. Dies mag auch damit zusammengehangen haben, dass es keinen branchenweiten Standard gegeben hat, sondern es sich um Insellösungen handelte, deren Einsatz dadurch schon beschränkt war. Gleichwohl werden neue Zahlungsverfahren – wenn auch nicht von der Kreditwirtschaft – entwickelt und angeboten. Eines davon ist „PayPal“. Dabei handelt es sich um ein auf konventionellen Zahlungsinstrumenten beruhendes Verfahren, da es mit Überweisungs-, Lastschrift- und Kreditkartenzahlungen kombiniert werden kann.327 Für den PayPal-Kunden wird nach seiner Registrierung ein Konto eröffnet, auf das er ein Guthaben für spätere Zahlungsvorgänge überweisen kann. Nachdem dieses auf dem Konto verbucht ist, kann im PayPal-Verfahren gezahlt werden.328 Allerdings muss auch der Zahlungsempfänger über ein PayPal-Konto verfügen, damit er Zahlungen in diesem Verfahren akzeptieren kann.329 Mit einer zusätzlichen Verifizierung kann im PayPal-Verfahren jedoch auch ohne PayPal-Konto zu Lasten einer Kreditkarte oder mittels Lastschrift verfügt werden. Das PayPal-Konto kann aber nicht mittels Lastschrift oder Kreditkarte aufgeladen werden. Beide Zahlungsverfahren dürfen im Rahmen des PayPalVerfahrens nur für konkrete Zahlungsvorgänge eingesetzt werden, die nicht über ein PayPal-Konto abgewickelt werden können.330 324
Zum CyberCash-Verfahren vg. Pichler, Rechtnatur, Rechtsbeziehungen und zivilrechtliche Haftung beim elektronischen Zahlungsverkehr im Internet, 52 ff.
325
Zum eCash-Verfahren vgl. Neumann, Die Rechtsnatur des Netzgeldes, 21 ff.; Kümpel, WM 1998, 365 ff.; Escher, WM 1997, 1173 ff.
326
Stefan, Internet-Zeitschrift für Rechtsinformatik vom 30.09.2002, JurPC Web-Dok. 294/2002, Abs. 1-9, Abs. 5.
327
Meder/Grabe, BKR 2005, 467, 468.
328
Meder/Grabe, BKR 2005, 467, 468 f.
329
Meder/Grabe, BKR 2005, 467, 469.
330
Meder/Grabe, BKR 2005, 467, 469 f.
130
7 Netzgeld
7.2 Risiken für den Verbraucherschutz In welchem Umfange Risiken für den Verbraucher bestehen, hängt ebenfalls von der Struktur des einzelnen Zahlungsverfahrens ab. Allerdings sollten bei den Risiken auch die Chancen der Netzgeld-Verfahren nicht unberücksichtigt bleiben. Zunächst erhöhen Zahlungsverfahren im Internet die Bequemlichkeit, d. h. der Verbraucher kann bei der Inanspruchnahme von Dienstleistungen über das Internet oder bei Bestellungen schnell und bequem bezahlen. Es entfällt die Notwendigkeit, Zahlungsaufträge an ein Kreditinstitut zu übermitteln. Zwar bieten Homebanking und Online-Banking auch die Möglichkeit, Zahlungsaufträge über das Internet zu erteilen, gleichwohl handelt es sich dabei um ein gesondertes Verfahren unter Einschaltung eines Kreditinstituts, über das die Zahlung abgewickelt wird, während bei einzelnen Internet-Zahlungsverfahren der Zahlungsempfänger dem System angeschlossen ist und wie mit Bargeld zahlen kann und ihm damit ein Maximum an Bequemlichkeit zur Zahlung zur Verfügung gestellt wird. Gleichzeitig erlauben es entsprechende Verfahren, Zahlungen in unmittelbarem Zusammenhang mit einer Bestellung oder der Inanspruchnahme einer Dienstleistung abzuwickeln, da so die Übermittlung einer Leistung oder die Versendung einer Ware direkt veranlasst werden kann, während bei den konventionellen Zahlungsverfahren der Händler, will er nicht das Risiko eingehen, in Vorleistung treten zu müssen, zunächst den Zahlungseingang abwarten wird, ehe er seine Leistung erbringt. Für den Verbraucher kann jedoch eine unkalkulierbare Wartezeit entstehen, wenn die Dienstleistung, die er in Anspruch nehmen möchte, erst zu einem späteren Zeitpunkt zur Verfügung gestellt wird. Bei Bestellungen können diese elektronischen Zahlungsverfahren von Vorteil sein, da sich der Verbraucher das Erstellen einer Überweisung nach Übersenden einer Rechnung sparen kann, auch können Unbequemlichkeiten im Zusammenhang mit Nachnahmesendungen vermieden werden. Ist der Verbraucher während der Anlieferung nicht erreichbar, muss er sich zur Post begeben, um die Ware abzuholen und zu bezahlen. Darüber hinaus kommen dem Verbraucher, der in einem Netzgeld-Verfahren Zahlungen leistet, die Verbraucher schützenden Regelungen zum Fernabsatzvertrag zugute, denn in der Regel kommt es zu Zahlungen mittels dieser Verfahren nur, wenn Geschäfte im Fernabsatz getätigt werden.331 Nachteile können sich für den Verbraucher insbesondere jedoch im Zusammenhang mit der Anwendung der Rechtsfigur des Anscheinsbeweises ergeben. Diese stellt – wie bereits weiter oben ausgeführt – eine Beweiserleichterung dar und erlaubt den am Netzgeldverfahren beteiligten Kreditinstituten den Anspruch bereits dann als begründet anzusehen, wenn die zur Aktivierung der Verfahren dem Verbraucher zur Verfügung gestellten Legitimationsmedien eingesetzt wurden. Voraussetzung dafür ist jedoch, dass diese Verfahren mit einem (vertretbaren wirtschaftlichen oder technischen Aufwand) nicht überwindbar und die Zugangs331
Zum Fernabsatzvertrag vgl. Werner in Lang/Assies/Werner, Schuldrechtsmodernisierung in der Bankpraxis, 271 ff.
7.2 Risiken für den Verbraucherschutz
131
medien höchstpersönlich zugeordnet werden und nicht übertragbar sind. Sollte ein Kreditinstitut den Nachweis führen können, dass es praktisch nicht möglich ist, das Sicherungsverfahren zu überwinden, muss ggf. der Verbraucher darlegen und beweisen, dass er nicht zum Missbrauch seiner Zugangsmedien beigetragen hat. Im Zweifel wird es ihm nur schwer möglich sein, den Anscheinsbeweis zu erschüttern. Auch wenn es sich dabei um keine Beweislastumkehr handelt, wird die Rechtsposition des Kreditinstituts gestärkt und im Gegenzug die des Verbrauchers geschwächt. Maßgeblich dafür, ob der Anscheinsbeweis Anwendung finden kann, ist allein die Überzeugung des Gerichts, ob das Sicherungsverfahren überwindbar ist oder nicht. Mithin bestehen für den Verbraucher nicht kalkulierbare Risiken. Um dies weitestgehend auszuschließen, könnte eine Alternative darin bestehen, dass die Kreditinstitute das Missbrauchsrisiko grundsätzlich übernehmen, sofern nicht der Vollbeweis erbracht werden kann, dass der Netzgeld-Kunde mit den ihm zur Verfügung gestellten Legitimationsmedien unsorgfältig umgegangen ist. Allerdings handelt es sich dabei letztlich nicht um eine Frage der Haftungsübernahme durch die Kreditinstitute, sondern es liegt im Ermessen der Gerichte, ob sie die Voraussetzungen für die Beweiserleichterung des Anscheinsbeweises annehmen. Folglich wäre als Risikominimierung die Übernahme des Missbrauchsrisikos durch die Kreditinstitute denkbar. Es bleibt aber fraglich, ob dies wirklich im Sinne des Verbrauchers wäre, denn dadurch würde der Missbrauchsmöglichkeit Tür und Tor geöffnet. Nicht nur, dass dann das Risiko eines bewussten Missbrauchs steigen dürfte, sondern bei einer solchen Ausgestaltung wäre auch damit zu rechnen, dass die Verbraucher sich um ein sorgfältiges Verhalten nicht mehr bemühen, wenn sie wissen, dass die die Netzgeldverfahren anbietenden Kreditinstitute das Missbrauchsrisiko übernehmen. Nur eingeschränkt wäre dieses Risiko dadurch zu minimieren, dass wenigstens im Falle des groben fahrlässigen oder vorsätzlichen Verhaltens der Netzgeld-Betreiber haften müsste, denn auch für den Nachweis des grobfahrlässigen oder vorsätzlichen Verhaltens müsste auf die Figur des Anscheinsbeweises zurückgegriffen werden, sofern die Sicherungsverfahren als nahezu unüberwindlich und die Hinweise auf die Sorgfaltspflichten hinsichtlich der Sicherung der Zugangsmedien als ausreichend erachtet würden. Wäre jedoch unter verbraucherschutzrechtlichen Gesichtspunkten der Anscheinsbeweis grundsätzlich unzulässig, hätte das Kreditinstitut in den wenigsten Fällen die Möglichkeit, ein grobfahrlässiges oder vorsätzliches Verhalten nachzuweisen. Im übrigen müssten die durch einen Missbrauch verursachten Schäden im Zweifel von den anderen Nutzern mitgetragen werden, denn letztlich wäre damit zu rechnen, dass die durch einen Missbrauch verursachten Schäden, um die NetzgeldVerfahren nicht unwirtschaftlich zu machen, auf die dafür zu entrichtenden Entgelte umgelegt werden müssten. Deshalb ist eine vollständige Haftungsübernahme für das Missbrauchsrisiko in Netzgeldverfahren durch die Kreditwirtschaft nur vordergründig im Interesse des Verbraucherschutzes, tatsächlich jedoch würde dies zu einer unangemessenen Benachteiligung der sorgfältig handelnden Teilnehmer durch entsprechend höhere Entgelte führen. Deshalb ist eine Haftungsver-
132
7 Netzgeld
teilung nach dem Verschuldensprinzip unter Anwendung der Grundsätze zum Anscheinsbeweis angemessen. Um in den Genuss der Beweiserleichterung durch die Anwendung der Rechtsfigur des „Anscheinsbeweises“ zu kommen, muss der Netzgeldanbieter ggf. den Nachweis führen, dass die Zugangssicherung zu seinem Netzgeldverfahren nicht oder nur mit einem unvertretbar hohen wirtschaftlichen oder technischen Aufwand überwunden werden kann.
7.3 Das Problem der Datenspuren Netzgeldverfahren bedürfen sicherlich einer detaillierten datenschutzrechtlichen Betrachtung, die die spezifischen Besonderheiten der einzelnen Verfahren berücksichtigen, was an dieser Stelle nicht vertieft behandelt werden kann. Gleichwohl soll auf die allgemeinen Risiken im Zusammenhang mit dem Datentransfer bei Netzgeld-Zahlungen hingewiesen werden. Diese Risiken können jedoch ambivalent sein. Anonyme Zahlungsverfahren, bei denen „elektronische Münzen“ übertragen werden, hinterlassen so gut wie keine Datenspuren, die auf den Verbraucher hinweisen könnten, da sie bewusst auf Anonymität ausgelegt sind und der Offenlegung der Identität des Zahlungspflichtigen bedürfen. Die Vermeidung von Datenspuren hat jedoch zur Folge, dass ein Missbrauch elektronischer Münzen schwer nachweisbar ist. Außerdem kann sich aus der Anonymität ergeben, dass eine eventuelle Einführung von gefälschten Münzen in ein auf elektronischen Münzen basierendes System – falls dies technisch möglich sein sollte – schwerer feststellbar, da es eine einfache Rückverfolgbarkeit nicht gibt. Sollten jedoch Netzgeld-Zahlungsverfahren so ausgelegt werden, dass jederzeit eine eindeutige Zuordnung des Netzgeld-Teilnehmers möglich ist, entstehen Datenspuren, die eine Rückverfolgbarkeit jedes einzelnen Zahlungsvorgangs sowie die Erstellung eines Nutzungsprofils des Zahlungspflichtigen erleichtern könnten. Dies wiederum vergrößert jedoch das Risiko des „gläsernen” Verbrauchers, wobei die Erfassung der Daten nicht nur unter Sicherheitsgesichtspunkten erfolgen kann – was sicherlich begrüßenswert wäre –, sondern es könnte daraus auch eine Erhöhung der Risiken der Überwachung und Kontrolle resultieren. Die Einführung elektronischer Verfahren, zu denen auch die Netzgeldverfahren gehören, bewegen sich deshalb in einem Spannungsverhältnis zwischen dem Bedürfnis nach Sicherheit, für die ein Maximum an Daten hilfreich sein kann, und persönlicher „Freiheit“, die wiederum erfordert, möglichst wenige Daten zu erfassen und zu speichern. Die Durchsetzbarkeit entsprechender Zahlungsverfahren hängt deshalb auch davon ab, wie dieser Konflikt zwischen Sicherheit und Freiheit in vertretbarer Weise gelöst werden kann.
8
Finanzdienstleistungen und verbundene Geschäfte
8.1 Die Fernabsatzrichtlinie Unter Berücksichtigung, dass es sich bei Bankdienstleistungen in der Regel nicht um körperliche Produkte handelt, sind diese für den Vertrieb über Fernkommunikationsmedien gut geeignet.332 Der Fernabsatz von Bank- und Finanzdienstleistungen bewegt sich dabei jedoch nicht im luftleeren Raum, sondern unterliegt allgemeinen und spezifischen Regeln, die entweder die Rechtsprechung für entsprechende Medien entwickelt hat oder die vom Gesetzgeber normiert worden sind. Für den Bereich des E-Commerce haben der deutsche und der europäische Gesetzgeber rechtliche Rahmenbedingungen entwickelt. Zu denken ist dabei auf nationaler Ebene an das IUKDG, das TDG sowie das SigG, auf europäischer Ebene an die E-Commerce-Richtlinie, die Signaturrichtlinie sowie die Fernabsatzrichtlinie mit den entsprechend nationalen Umsetzungsgesetzen.333 Weiterhin ergeben sich rechtliche Rahmenbedingungen aus der Kombination der Signaturrichtlinie mit dem Gesetz zur Anpassung der Formvorschriften an den modernen Rechtsverkehr, das den Einsatz der elektronischen Form oder der elektronischen Signatur als Substitut zur gewillkürten und gesetzlichen Schriftform unter bestimmten Voraussetzungen erlaubt.334 Hinzugekommen ist speziell für den finanzwirtschaftlichen Bereich die Fernabsatzrichtlinie für Finanzdienstleistungen,335 die am 23.09.2002 vom Europäischen Parlament erlassen wurde, die das Nicht-Präsenz-Geschäft der Kreditinstitute regelt und in innerdeutsches Recht umgesetzt worden ist. Auch wenn die Fernabsatzrichtlinie vom 20.05.1997336 besondere Anforderungen an den elektronischen Geschäftsverkehr festlegt, waren diese Regelungen auf den Bank- und Finanzdienstleistungsbereich bisher nicht anwendbar, da dieser 332
Vgl. Spindler in Hadding/Hopt/Schimansky, Entgeltklauseln in der Kreditwirtschaft und E-Commerce von Kreditinstituten, Bankrechtstag 2001, Berlin New York 2002, 172.
333
Vgl. dazu Spindler in Hadding/Hopt/Schimansky, Entgeltklauseln in der Kreditwirtschaft und E-Commerce von Kreditinstituten, Bankrechtstag 2001, Berlin New York 2002, 175.
334
Vgl. Spindler in Hadding/Hopt/Schimansky, Entgeltklauseln in der Kreditwirtschaft und E-Commerce von Kreditinstituten, Bankrechtstag 2001, Berlin New York 2002, 175f.
335
ABL L 271/16 ff.
336
97/7/EG, ABl. EG L 144 vom 04.06.1997, 19.
134
8 Finanzdienstleistungen und verbundene Geschäfte
ausdrücklich vom Anwendungsbereich dieser Richtlinie ausgenommen worden war.337 Die spezifischen Anforderungen an den Finanzdienstleistungsbereich ergeben sich nunmehr aus der Richtlinie des Europäischen Parlaments und des Rates über den Fernabsatz von Finanzdienstleistungen an Verbraucher, durch die das NichtPräsenz-Geschäft der Kreditinstitute auch über das Internet geregelt werden soll. Umgesetzt worden ist diese Richtlinie durch das Gesetz zur Änderung der Vorschriften über Fernabsatzverträge bei Finanzdienstleistungen vom 08.03. 2005.338 Der in § 312b Abs. 1 S. 2 BGB definierte Begriff der „Finanzdienstleistung“ ist weit gefasst und erfasst insbesondere Bankdienstleistungen sowie Dienstleistungen im Zusammenhang mit Kreditgewährung, Versicherung, Altersversorgung von Einzelpersonen, Geldanlage oder Zahlung und damit jede Bank-, Versicherungs-, Investment- und Zahlungsdienstleistung – wie die Richtlinie dies vorsieht.339 Allerdings legt nicht allein diese Richtlinie den Rahmen für Bankgeschäfte im Internet fest, daneben hat auch die „Richtlinie über den elektronischen Geschäftsverkehr“, aus der sich besondere Anforderungen an die Informationspflichten von Anbietern, die elektronische Medien nutzen sowie für den Abschluss von Verträgen über elektronische Medien ergeben, Folgen für die Kreditwirtschaft.340 Unter „Finanzdienstleistungen“ fallen gem. § 312b Abs. 1 S. 2 BGB insbesondere Bankdienstleistungen sowie Dienstleistungen im Zusammenhang mit der Kreditgewährung, Versicherung, Alterversorgung von Einzelpersonen, Geldanlage oder Zahlung. Auf Versicherungsleistungen und deren Vermittlung findet § 312b BGB gem. § 312b Abs. 3 Nr. 3 BGB zwar keine Anwendung, jedoch sind diese keineswegs aus dem Anwendungsbereich der Richtlinie ausgenommen, sondern die Anforderungen dafür sind in §§ 48a ff. VVG gesondert geregelt worden.341
8.2 Der Regelungsgehalt der Fernabsatzrichtlinie Die vorstehend bezeichnete EG-Richtlinie legt umfangreiche Informationspflichten der Anbieter von Finanzdienstleistungen im Fernabsatz fest. Zu Umsetzung dessen sind die sich aus § 312b BGB ergebenden Informationspflichten auf Finanzdienstleistungen ausgedehnt worden. Folglich findet § 1 Abs. 1 BGB-InfoVO auf alle Fernabsatzverträge – und damit zukünftig auch auf solche über Finanzdienstleistungen – Anwendung, wobei § 1 Abs. 2 BGB-InfoVO zusätzlich Anforderungen für den Vertrieb von Finanzdienstleistungen aufstellt. 337
Vgl. dazu Werner in Hellner/Steuer, Bankrecht und Bankpraxis, Rn. 19/353.
338
BGBl. I 2004, 3102.
339
Vgl. Werner, Geldverkehr im Internet – Ein Praxisleitfaden, 219.
340
Vgl. dazu Tettenborn/Bender/Lübben/Karenfort, BB-Beilage 10/2001, 1 (2 ff); Spindler in Hadding/Hopt/Schimansky, Entgeltklauseln in der Kreditwirtschaft und E-Commerce von Kreditinstituten, Bankrechtstag 2001, Berlin New York 2002, 254 ff.
341
Palandt/Grüneberg, § 312 b, Rn. 13.
8.3 Erfüllung der Informationspflichten
135
Besondere Bedeutung kommt im Online-Banking – insbesondere im Zusammenhang mit dem Zahlungsverkehr – § 312b Abs. 4 BGB zu, der vorsieht, dass bei einer Geschäftsbeziehung, die aus mehreren Verträgen besteht, die Information beim ersten Vertragsschluss ausreichend ist. Für den Zahlungsverkehr bedeutet dies, dass z. B. Folgeverträge im Zusammenhang mit einem Girokonto oder der Abwicklung von Kapitalanlagen keine erneuten diesbzgl. Informationspflichten auslösen. Allerdings bezieht sich dies ausschließlich auf in Zusammenhang mit dem Fernabsatz stehenden Informationspflichten. Die sich auf das einzelne Produkt beziehenden spezifischen Informationspflichten bleiben davon jedoch unberührt. Aus § 1 Abs. 2 BGB-InfoVO ergibt sich, dass der Anbieter von Finanzdienstleistungen im Fernabsatz zur umfassenden Information über seine Identität, die wesentlichen Merkmale der angebotenen Leistungen, die dem Verbraucher entstehenden Kosten sowie über den rechtlichen Rahmen des Vertrags verpflichtet ist. Von Bedeutung ist in diesem Zusammenhang, dass der Anbieter von Finanzdienstleistungen, deren Wert Schwankungen unterliegt, gem. § 1 Abs. 2 Nr. 2 BGB-InfoVO verpflichtet ist, auf dieses Risiko hinzuweisen. Dies gilt insbesondere für Wertpapiere, Optionsscheine oder auch Investmentfonds, wobei die entsprechende Hinweispflicht sich an der Grenze zur Beratung bewegt.342 Soweit Hinweise im Rahmen des § 31 WpHG in standardisierten Broschüren erfolgen, genügt dies zur Erfüllung der Informationspflichten. Weiterhin muss ein Anbieter gem. § 1 Abs. 2 Nr. 5 BGB-InfoVO angeben, welches Recht er der Kontaktaufnahme zugrunde legt, sofern er entsprechend dem Herkunftslandprinzip sein Heimatrecht der Vertragsbeziehung zugrunde legen möchte. Will der Anbieter Kosten für Fernkommunikationsmittel in Rechnung stellen, muss er diese gesondert ausweisen.343 Auch bei telefonischer Kontaktaufnahme sind alle wesentlichen Informationspflichten für Fernabsatzgeschäfte gem. § 1 Abs. 1 BGB-InfoVO zu erfüllen. Dadurch wird der telefonische Vertragsabschluss allerdings erheblich erschwert, da dies bedeutet, der für den Anbieter Handelnde müsste gegenüber dem Verbraucher erst einmal alle Informationspflichten verbal erfüllen. Ob ein Verzicht des Adressaten darauf möglich ist, bedarf noch der Klärung durch Literatur und Rechtsprechung.344
8.3 Erfüllung der Informationspflichten Die gesetzlichen Informationspflichten hat der Anbieter gem. § 312c Abs. 2 BGB dadurch zu erfüllen, dass er die Informationen in Textform gem. § 126b BGB zur 342
Vgl. dazu Horn, in: Horn/Krämer, Bankrecht 2002, 73, insb. 77 ff.
343
Vgl. dazu Felke/Jordans, WM 2004, 166, insbes. 168.
344
Vgl. dazu Felke/Jordans, NJW 2005, 710, insbes. 711.
136
8 Finanzdienstleistungen und verbundene Geschäfte
Verfügung stellt. Hinsichtlich der Klarheit und Verständlichkeit dieser Angaben sind die Anforderungen an das sich aus dem AGB-Recht ergebende Transparenzgebot einzuhalten.
8.4 Rechtsfolgen von Pflichtverletzungen Wird gegen die Informationspflichten verstoßen, hat dies zunächst zur Folge, dass der Ablauf der Widerrufsfrist gehindert wird. Aus § 355 Abs. 3 S. 3 BGB folgt weiterhin, dass bei Fernabsatzverträgen über Finanzdienstleistungen das Widerrufsrecht nicht nach Ablauf der absoluten Frist gem. § 355 Abs. 3 S.1 BGB erlischt. Außerdem kann eine Verletzung der Informationspflichten Schadenersatzansprüche gem. §§ 280 Abs. 1, 311 Abs. 2 BGB nach sich ziehen, die sogar auf die Vertragsaufhebung gerichtet sein können.345 Allerdings setzen Schadenersatzansprüche durch die Fehlangabe verursachte Schäden voraus.
8.5 Das Widerrufsrecht Aus § 312 d Abs. 1 BGB ergibt sich das Widerrufsrecht des Verbrauchers. Die Widerrufserklärung muss binnen zwei Wochen in Textform erklärt werden. Einzelheiten ergeben sich aus § 355 Abs. 2 BGB. Der Vertrag ist während der Widerrufsfrist wirksam und nicht – wie dies die EU-Richtlinie vorgesehen hat – bis zu ihrem Ablauf schwebend unwirksam. Wird der Vertrag vor Ablauf der Widerrufsfrist vollständig erfüllt, besteht gem. § 312 d Abs. 3 Nr. 2 BGB kein Widerrufsrecht mehr. Gleiches gilt gem. § 312 d Abs. 4 Nr. 6 BGB beim Erwerb spekulativer Kapitalmarktpapiere. Im Fall des Widerrufs ergeben sich die Rechtsfolgen aus §§ 357, 346 ff. BGB. Bei Finanzdienstleistungen besteht gem. § 312 d Abs. 6 BGB die Besonderheit, dass mit der Vertragserfüllung vor Ablauf der Widerrufsfrist nur begonnen werden darf, wenn der Verbraucher dem ausdrücklich zugestimmt hat. Liegt diese Zustimmung nach einer erforderlichen Aufklärung über die Rechtsfolgen nicht vor, verliert im Falle des Widerrufs das Finanzdienstleistungsunternehmen seinen Anspruch auf Wertersatz gem. § 357 BGB. Hat der Verbraucher dagegen zugestimmt und ist er zuvor über die Rechtsfolgen des Vertragsbeginns aufgeklärt worden, muss er nach Ausübung des Widerrufsrechts Wertersatz gem. §§ 357 Abs. 2, 346 Abs. 2 Nr. 1 BGB leisten. Bei dessen Bemessung ist auf die vertraglich vorgesehene Gegenleistung abzustellen. Gem. § 271 BGB sind diese Leistungen sofort fällig mit der Folge, dass 30 Tage
345
BGH NJW 1962, 1196, insbes. S. 1198 f; BGH NJW 1998, 302; BGH NJW 2001, S. 2163, Palandt/Heinrichs, § 123 Rdn. 27; Soergel/Hefermehl, § 123 Rdn. 63 noch zum alten Recht der inhaltliche vergleichbaren Haftung aus cic.
8.6 Schlichtung
137
nach der Widerrufserklärung auch ohne Mahnung der Verzug gem. § 286 Abs. 3 BGB eintritt. Die gesetzlichen Bestimmungen weisen jedoch insofern eine Lücke auf, als sie keine Regelung dazu enthalten, wie es sich mit dem Widerrufsrecht bei Finanzdienstleistungen verhält, die aufgrund eines Rahmenvertrags erfüllt werden, bei dem die Informationspflichten eingehalten werden. Das Widerrufsrecht muss dann so interpretiert werden, dass dieses keine Anwendung auf Verträge findet, die zur Ausfüllung eines Rahmenvertrages dienen. Allerdings werden die Verbraucherrechte dadurch für diese Verträge verkürzt. Schließlich kann das Widerrufsrecht auch problematisch werden bei im Fernabsatz abgeschlossenen Überweisungsverträgen, da die 14-tägige Widerrufsfrist zur Folge haben müsste, dass über Fernkommunikationsmittel zustande gekommene Überweisungsverträge nicht den Bestimmungen des Überweisungsgesetzes zur Endgültigkeit von Zahlungen unterliegen würden, so dass diese über einen Zeitraum hinaus noch widerruflich wären, zu dem sie nach den Regelungen des Überweisungsgesetzes bereits endgültig sein müssten, denn aus § 676a Abs. 4 Satz 1 BGB folgt, dass eine Kündigung des Überweisungsvertrages ausgeschlossen ist, wenn der Überweisungsbetrag dem Kreditinstitut des Begünstigten endgültig zur Gutschrift auf dessen Konto zur Verfügung gestellt wird. Sollte auf den Überweisungsverkehr jedoch auch die 14-tägige Widerrufsfrist Anwendung finden, würde dies der bezeichneten Regelung zur Überweisung widersprechen. Die Anforderungen des Überweisungsgesetzes sind deshalb nur dann mit der Richtlinie in Einklang zu bringen, wenn das Widerrufsrecht sich ausschließlich auf einen eventuellen Rahmenvertrag bezieht. Sollte es einen solchen jedoch nicht geben, müssen die Regelungen des Überweisungsgesetzes als „lex specialis” zu den Regelungen über den Fernabsatz von Finanzdienstleistungen angesehen werden, da es andernfalls bei mittels Fernkommunikationsmitteln abgeschlossenen Überweisungsverträgen Unsicherheiten hinsichtlich der Endgültigkeit der Zahlung geben könnte.
8.6 Schlichtung Art. 14 der Fernabsatzrichtlinie für Finanzdienstleistungen sieht ein Schlichtungsverfahren für Streitigkeiten bei Fernabsatzgeschäften im Bankbereich vor. Diese Funktion ist gem. § 7 SchlichtVerfVO der Bundesbank zugewiesen, die sie auf die Ombudsmänner des Bankgewerbes übertragen kann.346 Außerdem ist Art. 29a EGBGB dahingehend modifiziert worden, dass der durch das neue Recht bewirkte Verbraucherschutz nicht durch eine Rechtswahlklausel abbedungen werden kann, wenn der Vertrag zum Gebiet eines oder mehrerer Staaten der Europäischen Gemeinschaft gehört.
346
Jordans, VuR 2003, S. 253.
138
8 Finanzdienstleistungen und verbundene Geschäfte
Der Umsetzung von Art. 8 der der Fernabsatzrichtlinie347 dient die Regelung in § 676h BGB zur Kartenzahlung, die bestimmt, dass der Verbraucher einen Anspruch auf Stornierung der Zahlung und Wiedererkennung mit bzw. Erstattung eines bereits abgebuchten Betrags hat, sofern die Karte von ihm nicht eingesetzt wurde. Liegt keine wirksame Weisung des Kartenkunden vor, ist die Bank bzw. die Kartengesellschaft nicht berechtigt, gem. § 670 BGB den Aufwendungsersatzanspruch geltend zu machen und muss den aufgrund dessen bereits abgebuchten Betrag oder eventuell vereinnahmte Vorschüsse gem. § 669 BGB zurückerstatten. Dem steht nicht entgegen, dass eine Bank oder Kreditkartengesellschaft Schadensersatzansprüche gegenüber dem Verbraucher geltend machen kann, sofern dieser schuldhaft zum Missbrauch seiner Karte beigetragen hat. Die Regelung schließt lediglich die Begründung einer verschuldensunabhängigen Sphärenhaftung aus, die jedoch auch schon nach bisheriger Rechtslage – von wenigen Ausnahmen abgesehen – unzulässig war.348 Allenfalls kann sich aus der Regelung ergeben, dass die in den meisten Kreditkartenbedingungen noch enthaltenen Rudimente der Sphärenhaftung zukünftig nicht mehr zulässig sind.349 Soweit ersichtlich, sind jedoch die entsprechenden Kreditkartenbedingungen – denn nur dort finden sich noch Regelungen zur rudimentären Sphärenhaftung – bisher nicht abgeändert worden. Die in der EU-Richtlinie enthaltene Regelung, wonach Maßnahmen zu ergreifen sind, um bei unaufgefordert erbrachten Finanzdienstleistungen dafür Sorge zu tragen, dass es nicht zu unberechtigten Zahlungsaufforderungen mit späteren Zahlungen kommen kann, entspricht bereits der gegenwärtigen Rechtslage und bedarf keiner zusätzlichen gesetzlichen Regelungen. Gleiches gilt hinsichtlich der Leistungsbefreiung von Verbrauchern, denen unaufgefordert eine Finanzdienstleistung ohne ihre Einwilligung erbracht wurde. Zu begrüßen sind die Regelungen zur Präzisierung des „Cold Calling“, bezogen auf die telefonische Kommunikation mit einem Anrufautomaten oder mittels Telefax, da diesem Verhalten im Ansatz rechtliche Kontur verliehen wird. Weiterhin ist dafür Sorge zu tragen, dass die Regelungen zum Cold Calling nicht nur für Telefax und Anrufautomaten, sondern auch auf individuelle Anrufe oder die E-Mail-Kommunikation übertragbar sind. Dagegen nicht nachvollziehbar sind die Zielsetzungen, die sich aus der in der Richtlinie vorgesehenen Beweislastregel ergeben sollen, die vorsieht, dass die Mitgliedsstaaten bestimmen können, dass die Beweislast für die Erfüllung von Verpflichtungen des Anbieters zur Unterrichtung des Verbrauchers und über die Zustimmung des Verbrauchers zum Abschluss eines Vertrages sowie zur Durch347
Abl. EG Nr. L 144, S. 19.
348
Vgl. dazu BGH v. 23.04.1991 – XI ZR 128/90, WM 1991, 1110 (1110 ff)=WuB I. D5.7.91 Fervers; BGH v. 18.03.1997 – XI ZR 117/96, WM 1997, 910, 910 ff; BGH v. 16.04.2002 – XI 375/00, BB 2002, 1384 (1384 ff); dazu Werner, BB 2002, 1382, 1383.
349
Zur zulässigen Sphärenhaftung in den Kreditkartenbedingungen vgl. Werner, Geldverkehr im Internet – Ein Praxisleitfaden, 51f.
8.6 Schlichtung
139
führung des Vertrages beim Anbieter liegt. Nach den zivilprozessualen Regelungen hat derjenige die tatsächlichen Voraussetzungen eines Anspruchs zu beweisen, der sich dessen berühmt. Sollte sich folglich ein Finanzdienstleistungsunternehmen darauf berufen, es habe dem Verbraucher alle erforderlichen Informationen zur Verfügung gestellt, hat es dies im Zweifelsfalle auch zu beweisen, so dass es keiner zusätzlichen Regelung bedarf. Gleiches gilt hinsichtlich der Berufung auf den Vertragsabschluss oder die Vertragsdurchführung. Das Charakteristische der EU-Richtlinie besteht darin, dass ein umfangreicher Katalog an vorvertraglichen Informationspflichten begründet wird, der den bereits bestehenden Rechtsrahmen für den elektronischen Geschäftsverkehr – wie er durch die E-Commerce-Richtlinie festgelegt wurde – nochmals erweitert.350 Letztlich wird der Rechtsrahmen für den elektronischen Geschäftsverkehr, wie er bereits durch die Umsetzung der EG-Richtlinie über den elektronischen Geschäftsverkehr durch das EGG – Elektronisches Geschäftsverkehrs-Gesetz – eingeführt worden ist, auf den Finanzdienstleistungsbereich übertragen und fortentwickelt.351
350
Vgl. Cristea, Zeitschrift für das gesamte Kreditwesen 2002, 58, 58 ff; Hadding, ÖBA 2001, 105, 108.
351
Zum Rechtsrahmen für den elektronischen Geschäftsverkehr vgl. Tettenborn/Bender/ Lübben/Karenfort, BB-Beilage 10/2001, 1, 2 ff.
Teil II: Datenschutz und Bankgeheimnis
9
Einführung
9.1 Geschichte und Einordnung des Bankgeheimnisses 9.1.1
Kleine Geschichte des Bankgeheimnisses
Die Geschichte des Bankgeheimnisses ist so alt wie die Geschichte der Banken selbst.352 Bereits die ersten italienischen Banken verpflichteten ihre Mitarbeiter zur Verschwiegenheit gegenüber Dritten: „Man gebe niemand Aufschluss über andere außer dem Anfragenden über sich selbst, desgleichen dessen Bevollmächtigten, Erben usw. bei Strafe des Amtsverlustes und noch größerer Strafe, je nach dem Gutachten des Vikars und der Zwölfe.“353 Auch die ersten deutschen Banken – wie z. B. die Hamburger Bank im Jahre 1619 – nehmen in ihre Satzungen und Dienstanweisungen Bestimmungen auf, die ihre Mitarbeiter zur Geheimhaltung verpflichten.354 Art. 19 des „Reglements der Königlichen Giro- und Lehn-Banco“ Friedrichs des Großen von 1765 geht in einem Punkt noch weiter, indem dort nicht nur der Bruch der Geheimhaltungspflicht durch die Bankmitarbeiter, sondern bereits die entsprechenden Nachforschungen von Dritten außerhalb der Bank verboten werden. Der Begriff „Bankgeheimnis“ wird – soweit ersichtlich – erstmals im Jahre 1846 in § 133 der Bankordnung der Preußischen Bank erwähnt.355 Aus der Preußischen Bank ging später die Reichsbank hervor.
9.1.2
Die aktuelle Konzeption des Bankgeheimnisses in Deutschland
Das Bankgeheimnis ist eine spezielle Form der Berufsgeheimnisse, das ausschließlich für die Kreditwirtschaft gilt.356 Neben dem Bankgeheimnis existieren andere Berufsgeheimnisse wie z. B. für Ärzte, Rechtsanwälte und Steuerberater. Auch die Versicherungswirtschaft unterliegt einem besonderen Berufsgeheimnis. Der Unterschied zwischen dem Bankgeheimnis und den anderen o.g. Berufsgeheimnissen ist 352
Weber, BuB Rn. 2/841.
353
Zitiert nach Sichtermann, Bankgeheimnis und Bankauskunft, 71.
354
Sichtermann, Bankgeheimnis und Bankauskunft, 72.
355
Sichtermann, Bankgeheimnis und Bankauskunft, 75.
356
Weber, BuB Rn. 2/840.
144
9 Einführung
der ausschließlich vertragliche Charakter des Bankgeheimnisses. Das Bankgeheimnis ist vertragliche Nebenpflicht des Vertrages zwischen Bank und Kunden, unabhängig ob es ausdrücklich vereinbart ist oder nicht. Die anderen genannten Berufsgeheimnisse sind dagegen durch das Strafrecht gem. § 203 Strafgesetzbuch (StGB) geschützt.357 Die Person, die diese Art von Berufsgeheimnissen bricht, trägt unmittelbar die strafrechtlichen Konsequenzen. Bei einem Verstoß gegen das Bankgeheimnis trifft zunächst die Bank als Vertragspartner des Kunden die schuldrechtliche Verantwortlichkeit. Der Kunde hat in diesem Fall einen Schadensersatzanspruch gegen die Bank gem. § 280 Abs. 1 i.V.m. 241 Abs. 2 BGB, soweit ihm ein Vermögensschaden entstanden ist.358 Das Bankgeheimnis ist in Deutschland also ein rein zivilrechtliches Konzept, das Rechte und Pflichten nur zwischen den unmittelbaren Parteien des Bankvertrages etabliert.
9.1.3
Das Bankgeheimnis in der EU
In der EU existiert eine große Vielfalt in Bezug auf die Regelungen des Bankgeheimnisses. In den Niederlanden wird das Bankgeheimnis z. B. gar nicht explizit erwähnt. In Belgien, Großbritannien und Deutschland etwa besitzt das Bankgeheimnis ausschließlich vertraglichen Charakter. Das Bankgeheimnis in Österreich und Portugal ist in den bankaufsichtsrechtlichen Regelungen definiert. Strafrechtlichen Schutz genießt das Bankgeheimnis z. B. in Frankreich, Luxemburg und Polen.359 Die Vielfalt wird noch größer, wenn man zudem die Ausnahmen vom Bankgeheimnis mit in Betracht zieht. In Dänemark z. B. gehen die staatlichen Zugriffsrechte in Hinblick auf die Steuererhebung am weitesten und verpflichten die Banken, jährlich den Finanzbehörden Auskunft über die Kundenkonten incl. Bestimmter vom Kunden erzielter Erträge zu geben. Dagegen gilt das Bankgeheimnis in Luxemburg auch gegenüber den Steuerbehörden. Gegenüber der Bankaufsicht sind die europäischen Banken i.d.R. auskunftspflichtig (z. B. Art. 57 des französischen Kreditwesengesetzes). Auch im Strafprozess können sich die Banken in Europa zumeist nicht auf das Bankgeheimnis berufen (z. B. Portugal).360 Im Gegensatz zum Datenschutz, wo durch die EU-Datenschutzrichtlinie eine weitgehend einheitliche Rechtslage in der EU entstanden ist, existieren also hinsichtlich des Bankgeheimnisses in den Mitgliedsstaaten der EU unterschiedliche Regelungsinhalte.
357
Nobbe, WM 2005, 1537 (1542).
358
U.a. BGH XI ZR 195/05.
359
The European Banking Federation, Report on Banking Secrecy 2004, S. 38; unter www.ebf-fbe.eu.
360
Weber, BuB, Rn. 2/1063 ff.
9.2 Die historische Entwicklung des Datenschutzes
145
9.2 Die historische Entwicklung des Datenschutzes 9.2.1
Die Anfänge der Datenschutzgesetzgebung
Die Datenschutzgesetzgebung begann in der Bundesrepublik auf Länderebene. Das Bundesland Hessen verabschiedete 1970 das erste Datenschutzgesetz in Deutschland.361 Auf internationaler Ebene folgen 1973 das schwedische Datenschutzgesetz, 1974 der Privacy Act in den USA und bis Ende der 70iger Jahre Datenschutzgesetze in Australien, Kanada und Frankreich. Die erste Fassung des Bundesdatenschutzgesetzes (BDSG) wird 1977 verkündet, seine wesentlichen Teile treten 1978 in Kraft.362 Inhaltlich sind einige grundlegende Aspekte des heutigen BDSG bereits im ersten Entwurf enthalten. Die Verarbeitung personenbezogener Daten in der Privatwirtschaft (das Gesetz spricht von „nicht-öffentlichen Stellen“) ist fester Bestandteil des Regelungsgegenstandes, was in der vorausgegangenen Diskussion nicht unumstritten war. Die Grundentscheidung, dass die Verarbeitung personenbezogener Daten einer rechtlichen Grundlage bedarf und ansonsten verboten ist, war bereits im ersten Entwurf vorgesehen.363 Als bedeutende Rechtsgrundlage für die Privatwirtschaft wird die Verarbeitung für den Zweck eines Vertragsverhältnis oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen eingeführt. Technische und organisatorische Maßnahmen zur Datensicherheit sind Bestandteil des ersten BDSG. Als Rechte des Betroffenen werden das Auskunftsrecht und das Recht auf Berichtigung, Sperrung und Löschung verankert.364 Die Funktion des betrieblichen Datenschutzbeauftragten wird genauso eingeführt wie die unabhängige Kontrolle der Privatwirtschaft durch die in Landesgesetzen zu definierenden Aufsichtsbehörden. Daneben wird das Amt des Bundesdatenschutzbeauftragten geschaffen.365
9.2.2
Das Recht auf informationelle Selbstbestimmung
Die zweite Phase des Datenschutzes in Deutschland wurde durch das Bundesverfassungsgericht (BVerfG) geprägt. Anlässlich der Volkszählung kreierte das BVerfG 1983 den Begriff der informationellen Selbstbestimmung und verlieh damit dem Datenschutz Verfassungsrang.366 Das BVerfG führte aus, die Bürger hätten das Recht, selbst über die Preisgabe und Verwendung ihrer personenbezogenen Daten zu bestimmen. Diese Form der Selbstbestimmung sei angesichts der 361
Simitis, NJW 1971, 673 ff.
362
Abel, Geschichte des Datenschutzrechts, 201.
363
Abel, Geschichte des Datenschutzes, 201 f.
364
Simitis, NJW 1977, 729 (734 f.).
365
Simitis, NJW 1977, 729 (736).
366
BVerfGE 65, 1.
146
9 Einführung
Bedingungen der modernen Datenverarbeitung sowohl für die freie Entfaltung der Persönlichkeit jedes einzelnen als auch für das Funktionieren der freiheitlichen Demokratie von wesentlicher Bedeutung. Einschränkungen dieses Grundrechtes seien nur aufgrund überwiegendem Allgemeininteresses durch Gesetz möglich, wobei insbesondere das Gebot der Verhältnismäßigkeit zu wahren sei. Das BVerfG hob zudem die Bedeutung des Zweckes der Datenverarbeitung hervor, der vor Beginn der Verarbeitung zu definieren sei und der die Zulässigkeit der Datenverarbeitung weit reichend einschränke.367 Das Urteil des BVerfG macht darüber hinaus deutlich, dass der Begriff Datenschutz nicht etwa eingeengt im Sinne von unberechtigtem Zugriff auf personenbezogene Daten zu verstehen ist.368 Datenschutz bedeutet vielmehr Schutz der informationellen Selbstbestimmung jedes Einzelnen. Den Begriff informationelle Selbstbestimmung leitet das Gericht dabei aus der Menschenwürde gem. Art. 1 Abs. 1 und dem Recht auf freie Entfaltung der Persönlichkeit gem. Art. 2 Abs. 1 Grundgesetz ab. Obwohl das BVerfG in dem Volkszählungsurteil die Grundlinien des Datenschutzes deutlich vorgezeichnet hat, folgte die gesetzgeberische Umsetzung dieser Grundlinien im BDSG erst mit langer Verzögerung durch die Novellierung im Jahre 1990.369 Mit der Novellierung von 1990 wurden u. a. das Verbot mit Erlaubnisvorbehalt in das BDSG aufgenommen und die Vorschriften hinsichtlich der Einwilligung in § 4a zusammengefasst.370
9.2.3
Die EU-Datenschutzrichtlinie
Die nächste große Änderung des BDSG erfolgte 2001. Diese ging auf die EGDatenschutzrichtlinie 95 / 46 / EG aus dem Jahre 1995 zurück. Darin wurden die Mitgliedsstaaten der EU verpflichtet, weitgehend einheitliche Datenschutzvorschriften in nationales Recht umzusetzen.371 Die Mitgliedsstaaten haben dabei aber einen gewissen Spielraum, in dessen Rahmen sie eigene Präferenzen setzen können.372 Deutschland und wenige andere Länder ließen sich mit der Umsetzung der Datenschutzrichtlinie so lange Zeit, bis durch die EG-Kommission ein Vertragsverletzungsverfahren eingeleitet wurde.373 Das Ziel der Datenschutzrichtlinie war gleichermaßen mit dem Datenschutz den Schutz der Grundfreiheiten der EG-Bürger zu garantieren sowie den freien 367
BVerfGE 65, 1.
368
Kritisch zum Begriff Datenschutz bereits: Simitis, NJW 1970, 673 (676).
369
Abel, Geschichte des Datenschutzes, 210 f.
370
Gola/Schomerus, BDSG, § 4 Rn. 1 f.
371
Erwägungsgrund Nr. 7 und 8 Datenschutz-Richtlinie 95/46/EG.
372
Erwägungsgrund Nr. 9 Datenschutz-Richtlinie 95/46/EG.
373
Simitis in Simitis, BDSG, Einleitung Rn. 96 f.
9.3 Begriffe und Definitionen
147
Verkehr von Waren und Dienstleistungen innerhalb der EG zu fördern, indem durch die Schaffung eines EG-weiten, einheitlichen Datenschutzniveaus, die Grundlage für einen freien Datenaustausch zwischen den Mitgliedsstaaten gelegt wurde.374 Rechtlich steht nunmehr einem Datenaustausch innerhalb der EU-Mitgliedsstaaten nichts mehr im Wege, was für die international arbeitsteilig agierende Privatwirtschaft ausgesprochen vorteilhaft ist. Auch die bereichspezifischen Regelungen für das Internet (wie z. B. das neue Telemediengesetz), für das nationale Grenzen technisch kaum Bedeutung haben, sind weitgehend von europäischen Richtlinien geprägt. In der Datenschutzpraxis hat allerdings der Spielraum für die nationalen Gesetzgeber, den die Datenschutzrichtlinien gewähren, und die unterschiedliche Vollzugspraxis der nationalen Aufsichtsbehörden für international tätige Unternehmen einen großen Aufwand zur Folge, da jeweils die Rechtslage in jedem EU-Mitgliedsland einzeln analysiert und umgesetzt werden muss. Im Vergleich zu den anderen Mitgliedsländern sind der Datenschutzbeauftragte und die dezentrale Organisation der Aufsichtsbehörden in den Bundesländern eine deutsche Besonderheit. Die Mehrzahl der anderen Länder hat eine zentrale staatliche Aufsichtsbehörde, die jede einzelne Anwendung, die ein Unternehmen neu einführt, vorher genehmigen muss.375
9.3 Begriffe und Definitionen 9.3.1
Privatkunden und Firmenkunden
Die Begriffe Privatkunden und Firmenkunden werden in dieser Darstellung in einer vereinfachenden Weise verwendet: Firmenkunden als Synonym für juristische Personen und Privatkunden gleichbedeutend mit natürlichen Personen. Zu dieser vereinfachenden Einteilung ist allerdings zu beachten, dass z. B. ins Handelsregister eingetragene Kaufleute, nach dieser Einteilung zwar als Firmenkunden angesehen werden, diese aber unter den Anwendungsbereich des BDSG fallen, falls es sich um natürliche Personen handelt.376 Entsprechendes gilt für Freiberufler, die ebenfalls als Firmenkunden eingestuft werden, obwohl sie natürliche Personen sind. Umgekehrt sind z. B. die personenbezogenen Daten der Vertretungsberechtigten einer juristischen Person – wie z. B. Mitglieder des Vorstands einer AG – grundsätzlich auch durch das BDSG geschützt.377
374
Erwägungsgrund Nr. 7 und 8 Datenschutz-Richtlinie 95/46/EG.
375
Z.B. die französische Aufsichtsbehörde CNIL; unter www.CNIL.fr.
376
Vgl. z. B. Weber, BuB, Rn. 2/1057.
377
Hartmann, BuB, Rn. 17/33.
148
9 Einführung
Der einfachen Verständlichkeit wird hier der Vorzug vor der Genauigkeit gegeben. Die o.g. Differenzierung ist allerdings bei genauer Prüfung von Sachverhalten in der Praxis des Datenschutzes entsprechend zu beachten.
9.3.2
Bankvertrag
Der Begriff Bankvertrag wird in dieser Darstellung aus Gründen der Vereinfachung häufig genutzt. Dabei ist zu beachten, dass der Bankkunde i.d.R. nicht nur einen Vertrag, sondern eine Vielzahl von Verträgen mit der Bank schließt. Dies können u. a. Giro-, Scheck-, Kredit- und Depotverträge sein. In der Regel ist der Girovertrag oder auch Kontoführungsvertrag die vertragliche Basis auf der einerseits mit den Überweisungen Einzelaufträge durch den Kunden erteilt werden. Andererseits können sich an den Girovertrag weitere Verträge – z. B. ein Kreditvertrag – anschließen.378
9.3.3
Bank, Kreditinstitut und die Anwendbarkeit des BDSG
Die Begriffe Bank und Kreditinstitut werden gem. dem Kreditwesengesetz (KWG) synonym verwandt. Für die privatrechtlichen Kreditinstitute gilt das BDSG insoweit, als es auf nicht-öffentliche Stellen Anwendung findet (insbesondere die §§ 27 ff. BDSG379). Für öffentlich-rechtliche Kreditinstitute des Bundes, die nicht am Wettbewerb teilnehmen, gelten gem. § 12 diejenigen Vorschriften des BDSG, die für öffentlich-rechtliche Stellen Anwendung finden (insbesondere die §§ 12 bis 26). Als Beispiel hierfür dient die Deutsche Bundesbank. Für öffentlich-rechtliche Kreditinstitute, die wie z. T. die KfW am Wettbewerb teilnehmen, gelten die §§ 27 ff. BDSG wie für nicht-öffentliche Stellen. Sie unterliegen jedoch im Unterschied zu den nicht-öffentlichen Stellen gem. §§ 24 bis 26 der Aufsicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Zudem gelten gem. § 7 strengere Schadensersatzregelungen.380 Für öffentlich-rechtliche Kreditinstitute der Länder – z. B. die Landesbanken – gelten genauso wie für die öffentlich-rechtlichen Sparkassen die Vorschriften der jeweiligen Landesdatenschutzgesetze. Diese Institute und Sparkassen werden – soweit sie am Wettbewerb teilnehmen – von den meisten Ländern datenschutzrechtlich wie die privatrechtlichen Banken behandelt. Dabei erfolgt von einem Teil der Länder eine vollständige, von dem anderen Teil der Länder eine weitgehende Gleichbehandlung mit den privatrechtlichen Instituten.
378
Hartmann, BuB, Rn. 17/90.
379
Paragrafen ohne besondere Kennzeichnung sind im Folgenden Bestimmungen des BDSG.
380
Hartmann, BuB, Rn. 17/23.
9.3 Begriffe und Definitionen
149
Die Kreditgenossenschaften sind den privatrechtlichen Banken in datenschutzrechtlicher Hinsicht gleichgestellt.381 Aus Gründen der Vereinfachung wird die Darstellung im Folgenden inhaltlich auf privatrechtliche Banken beschränkt. Auch terminologisch werden ausschließlich die Begriffe Bank und Kreditinstitut verwendet.
9.3.4
Begriffe des BDSG
9.3.4.1 Verantwortliche Stelle Verantwortliche Stelle ist gem. § 3 Abs. 7 jede Person oder Stelle die personenbezogene Daten für sich selbst erhebt oder verarbeitet. Die Bank ist also verantwortliche Stelle in Hinblick auf die personenbezogenen Daten ihrer Kunden. 9.3.4.2 Verarbeitung von Daten Die Datenverarbeitung ist gem. § 3 Abs. 4 der Oberbegriff für das Speichern, Verändern, Übermitteln, Sperren oder Löschen von Daten. Das Nutzen ist gem. § 3 Abs. 5 jede Verwendung von Daten, die nicht gleichzeitig ein Verarbeiten ist. Das Erheben ist gem. § 3 Abs. 3 das Beschaffen von Daten. 9.3.4.3 Betroffener und personenbezogene Daten Betroffener ist gem. § 3 Abs. 1 diejenige Person, deren personenbezogene Daten verarbeitet werden. Personenbezogene Daten sind dabei gleichbedeutend mit Angaben, die einer natürlichen Person zugeordnet werden können. Ausreichend dafür ist die Identifizierbarkeit der zugehörigen natürlichen Person. Die Privatkunden der Bank sind damit Betroffene i.S.d. BDSG.
381
Hartmann, BuB, Rn. 17/24 ff. m.w. Nachweisen.
10 Das Verhältnis von Bankgeheimnis und Datenschutz
10.1 Die unterschiedlichen Rechtsgrundlagen 10.1.1 Das Bankgeheimnis als zivilrechtliche, vertragliche Nebenpflicht Das Bankgeheimnis ist eine vertragliche Pflicht der Bank gegenüber ihren Kunden. Es ist i.d.R. in den Allgemeinen Geschäftsbedingungen (AGB) der Banken fixiert und stellt damit einen festen Bestandteil der Vertragspflichten der Bank gegenüber den Kunden dar.382 Gleichwohl besteht die Verschwiegenheitspflicht der Bank auch, wenn diese nicht ausdrücklich schriftlich vereinbart ist. Bereits während der Vertragsanbahnung mit dem Kunden ist die Bank zur Geheimhaltung über kundenbezogenen Informationen verpflichtet. Zudem wirkt das Bankgeheimnis über das Ende des Bankvertrages hinaus.383 Das Bankgeheimnis gilt als vertraglich verankertes besonderes Berufsgeheimnis. Es wird als Teilaspekt der vom Grundgesetz garantierten Berufsfreiheit angesehen.384 Das Bankgeheimnis ist zudem gesetzlich anerkannt. § 30a Abgabenordnung (AO) nimmt auf das besondere Vertrauensverhältnis zwischen Bank und Kunden Bezug.
10.1.2 Die gesetzlichen Grundlage des Datenschutzes Der Datenschutz ist gesetzlich geregelt. Neben dem BDSG gelten eine Vielzahl von Einzelgesetzen. Das BDSG fungiert dabei einerseits als Auffanggesetz385. Falls keine speziellere Norm existiert, gelten gem. § 1 Abs. 3 Satz 1 die Regelungen des BDSG. Das BDSG definiert andererseits eine Vielzahl von allgemeinen Grundlagen, die für die Spezialgesetze als „Allgemeiner Teil des Datenschutzes“ übergreifende Verbindlichkeit erlangen. Zu nennen sind in diesem Zusammen382
Vgl. § 2 AGB Private Banken; Nobbe, WM 2005, 1537 (1539).
383
Weber, BuB, Rn. 2/856.
384
Bruchner/Krepold, Bankrechts-Handbuch I, § 39 Rn. 5 f.
385
Gola/Schomerus, BDSG, § 1 Rn. 23 ff.
152
10 Das Verhältnis von Bankgeheimnis und Datenschutz
hang etwa die Voraussetzungen für die Einwilligung in eine Datenverarbeitung, die Vorschriften über die Bestellung und die Aufgaben des betrieblichen Datenschutzbeauftragten oder die Vielzahl der grundlegenden Begriffsdefinitionen. Den Datenschutz der öffentlichen Stellen386 hat der Gesetzgeber im BDSG, den Landesdatenschutzgesetzen und in einer Vielzahl von Einzelgesetzen geregelt.387 Für die Banken ist neben dem BDSG insbesondere das neue Telemediengesetz (TMG) von Bedeutung. Hinter dem Begriff „Telemedien“ verbirgt sich u. a. der Datenschutz für eine Vielzahl von Dienstleistungen, die im Internet angeboten werden.
10.2 Die Anwendungskonkurrenz zwischen Bankgeheimnis und Datenschutz Die Anwendungskonkurrenz zwischen Datenschutz und Bankgeheimnis wird durch das BDSG selbst geregelt. Zunächst bestimmt § 1 Abs. 3 Satz 1, dass das BDSG gegenüber anderen Rechtsvorschriften subsidiäre Geltung hat. Im Verhältnis zu Berufsgeheimnissen, die wie das Bankgeheimnis nicht gesetzlich geregelt sind, schreibt § 1 Abs. 3 Satz 2 vor, dass diese Berufsgeheimnisse unberührt bleiben. In der bankrechtlichen Literatur und Rechtsprechung wird z. T. aus dem Begriff „unberührt“ hergeleitet, das Bankgeheimnis definiere seinen Regelungsgegenstand abschließend, so dass das BDSG nicht anwendbar sei.388 Denkt man diesen Ansatz konsequent zu Ende, entfielen für die Banken grundlegende Pflichten des BDSG wie etwa die Bestellung eines Datenschutzbeauftragten. Zutreffend ist dagegen eine differenzierende Betrachtungsweise. Das BDSG ist nicht etwa ein Auffanggesetz für Bereiche, die keiner speziellen Regelung unterliegen, sondern das BDSG setzt einen datenschutzrechtlichen Mindeststandard auch dort, wo bereits Regelungen zum Berufsgeheimnis vorliegen. Welche Regelung innerhalb der Konkurrenz zwischen Datenschutz und Bankgeheimnis gilt, kann nur im Einzelfall entschieden werden, indem die beiden Regelungsbereiche jeweils gegeneinander abgeglichen werden.389 Vom BSDG als Mindeststandard wird zu Gunsten des Privatkunden immer dort abgewichen, wo das Bankgeheimnis einen engeren Regelungsgehalt hat.390 Gestützt wird diese Ansicht auch durch die unterschiedlichen Rechtsgrundlagen von Datenschutz und Bankgeheimnis. Die vertragliche Verschwiegenheitsverpflichtung des Bankgeheimnisses kann die Geltung des BDSG als förmliches Gesetz, das zudem durch eine staatliche Aufsicht kontrolliert und sanktioniert wird, nicht gene386
Zur Definition der öffentlichen Stellen vgl. § 2 BDSG.
387
Z.B. § 67a Abs. 1 Sozialgesetzbuch (SGB) X.
388
Nobbe, NJW 2005, 1537 (1544); BGH Urt. vom 27.02.2007, XI ZR 195/05, 13 ff.
389
Canaris, Bankvertragsrecht, Rn. 72 ff.
390
Simitis, in Simitis, BDSG, § 28 Rn. 134.
10.3 Persönlicher Schutzbereich
153
rell in seiner Anwendung verdrängen.391 Vielmehr geht das Bankgeheimnis nur dort vor, wo es die Pflichten für die Bank strenger gestaltet als der Datenschutz.
10.3 Persönlicher Schutzbereich 10.3.1 Das Bankgeheimnis umfasst natürliche und juristische Personen Das Bankgeheimnis schützt die Informationen aller Kunden.392 Unter das Bankgeheimnis fallen sowohl Privatkunden als auch Firmenkunden.393 Soweit der Kundenbegriff nicht genauer umschrieben wird, bezieht sich diese Darstellung im Folgenden auf Privatkunden. Die Firmenkunden werden explizit als solche bezeichnet.
10.3.2 Der Datenschutz als Schutzgesetz für natürliche Personen Unter den persönlichen Schutzbereich des BDSG fallen gem. § 1 Abs. 1 ausschließlich natürliche Personen. Personenbezogene Daten sind folglich alle Informationen, die einer zumindest identifizierbaren Person zugeordnet werden könnten.394 Beispiele für personenbezogene Daten sind Name, Adresse, Alter und IPAdresse. Darüber hinaus fallen unter diesen Begriff selbstverständlich auch Daten wie Kontonummer, Kontosalden und ähnliche Kundendaten, die die Bank in ihren IT-Systemen über Privatkunden gespeichert hat.
10.3.3 Konsequenzen für die Praxis des Datenschutzes in der Bank Die Bank hat für Kunden, die juristische Personen sind, nur das Bankgeheimnis zu beachten. Für die Kunden, die natürliche Personen sind, hat die Bank sowohl das Bankgeheimnis als auch den Datenschutz in ihrem besonderen Zusammenwirken zu beachten.395 Der Fokus dieser Darstellung über das Bankgeheimnis und den Datenschutz liegt auf dem Privatkundensegment und damit auf dem Bereich, der für die Praxis der Datenschutzbeauftragten in der Bankwirtschaft i.d.R. am bedeutendsten ist.
391
Cahn, WM 2004, S. 2041 (2050); Kusserow/Dittrich WM 1997, 1786.
392
Vgl. § 2 AGB-Banken.
393
Zur genauen Unterscheidung vgl. oben Kapitel 9.3.1 Privatkunden und Firmenkunden.
394
Vgl. § 3 Abs. 1 BDSG.
395
Hartmann, BuB Rn. 17/5.
11 Die Grundlagen des Bankgeheimnisses
11.1 Die Rechtsgrundlage des Bankgeheimnisses Die Rechtsgrundlage des Bankgeheimnisses ist der Vertrag zwischen dem Kunden und der Bank.396 In den Bankvertrag werden bei den privaten Banken die sog. AGBBanken miteinbezogen. Dort lautet die Formulierung zum Bankgeheimnis wie folgt: „Die Bank ist zur Verschwiegenheit über alle kundenbezogenen Tatsachen und Wertungen verpflichtet, von denen sie Kenntnis erlangt (Bankgeheimnis). Informationen über den Kunden darf die Bank nur weitergeben, wenn gesetzliche Bestimmungen dies gebieten oder der Kunde eingewilligt hat oder die Bank zur Erteilung einer Bankauskunft befugt ist.“397 Darüber hinaus wird dem Bankgeheimnis auch eine verfassungsrechtliche Dimension zugeschrieben. Auf Seiten des Privatkunden wird der Bezug zum Recht auf informationelle Selbstbestimmung hergestellt. Auf Seiten der Bank wird das Bankgeheimnis als ein Teilaspekt der Berufsfreiheit gem. Art. 12 GG hergeleitet.398 Zudem ist das Bankgeheimnis gesetzlich anerkannt. § 30a AO nimmt ausdrücklich auf das besondere Vertrauensverhältnis zwischen dem Kunden und der Bank Bezug. Das Bankgeheimnis verändert zwar dadurch nicht seinen vertraglichen Charakter, erhält aber durch die gesetzliche Erwähnung zusätzliches Gewicht.399
11.2 Der Umfang der Verschwiegenheitspflicht Die Bank ist nach dem Bankgeheimnis zur Verschwiegenheit über alle kundenbezogenen Informationen verpflichtet – egal ob es sich dabei um Tatsachen oder Wertungen handelt.400 Tatsachen sind dem Beweise zugänglich, wogegen Wertungen einen subjektiven Charakter des Meinens und Dafürhaltens besitzen.
396
Eine detailliertere Darstellung zum Bankvertrag siehe oben Kapitel 9.3.2.
397
§ 2 AGB-Banken.
398
Canaris, Bankvertragsrecht, Rn. 36 ff.
399
Bruchner/Krepold, Bankrechts-Handbuch I, § 39 Rn. 233.
400
Canaris, Bankvertragsrecht, Rn. 39.
156
11 Die Grundlagen des Bankgeheimnisses
Neben rein finanziellen Informationen sind Informationen über den privaten Lebensbereich der Privatkunden selbstverständlich mit umfasst.401 Darüber hinaus ist bereits die Kundeneigenschaft eine Information, die Gegenstand des Bankgeheimnisses ist.402 Auch in anderer Richtung ist die Verschwiegenheitspflicht sehr weitgehend, da als geschützte Datenquelle nicht nur die Bank selbst in Frage kommt. Auch wenn die Angaben vom Kunden oder von Dritten stammen, ist die Bank zur Geheimhaltung verpflichtet. Die Verschwiegenheitspflicht entfällt nur, wenn die Informationen offenkundig oder allgemein bekannt sind, und die Bank die Information unabhängig von der bestehenden Geheimhaltungspflicht erhalten hat.403 Auch die Zielrichtung der Informationsweitergabe ist umfassend geschützt. Sowohl die Weitergabe an Personen aus dem engsten persönlichen Lebensumfeld, wie z. B. die Ehegatten, als auch die Weitergabe an staatliche Stellen unterfällt grundsätzlich der Verschwiegenheit.404 Das Bankgeheimnis muss nicht ausdrücklich vereinbart sein. Auch im Rahmen eines vorvertraglichen Vertrauensverhältnisses ist die Bank bereits zur Verschwiegenheit verpflichtet. Das Bankgeheimnis gilt zudem zeitlich über das Vertragsende hinaus.405 Den Maßstab, welche Informationen der Verschwiegenheitspflicht unterfallen, bildet der Wille des Kunden. Dabei wird zunächst auf den wirklichen Willen des Kunden abgestellt. Ist dieser nicht ermittelbar, wird auf den mutmaßlichen Willen abgestellt. Falls auch der mutmaßliche Wille nicht feststellbar ist, dient als letztes Kriterium das objektive Interesse.406
11.3 Das interne Bankgeheimnis Das interne Bankgeheimnis ist das innere Spiegelbild des externen Bankgeheimnisses. Der Kunde darf vernünftiger Weise davon ausgehen, dass nicht jeder Mitarbeiter der Bank Zugriff auf seine Daten erhält, sondern nur die Mitarbeiter, die den Kunden tatsächlich betreuen.407 Der Zugriff der Mitarbeiter ist dabei gem. dem sog. Need-to-know-Prinzip zu organisieren: der Kundenbetreuer z. B. darf nur die Kundendaten einsehen, die er tatsächlich zur Betreuung seiner Kunden benötigt.408 401
Weber, BuB, Rn. 2/844.
402
Bruchner/Krepold, Bankrechts-Handbuch I, § 39 Rn. 15.
403
Bruchner/Krepold, Bankrechts-Handbuch I, § 39 Rn. 16.
404
Canaris, Bankvertragsrecht, Rn. 54.
405
Weber, BuB, Rn. 2/856.
406
Canaris, Bankvertragsrecht, Rn. 49.
407
Beule/Stöhr, Datenschutzrecht in Banken und Sparkassen, S. 9.
408
Bruchner/Krepold, Bankrechts-Handbuch I, § 39 Rn. 23.
11.4 Legitime Grundlagen einer Weitergabe von Kundeninformationen
157
Da die Datenhaltung in der Bank überwiegend in IT-Systemen erfolgt, bedeutet das interne Bankgeheimnis insbesondere die Einrichtung von abgestuften Berechtigungskonzepten für die IT-Systeme. Im Wege der Zuteilung von entsprechenden Zugriffsrechten auf die Mitarbeiter in Abhängigkeit von ihrem Arbeitsauftrag, wird das interne Bankgeheimnis am effektivsten umgesetzt. Dabei kann eine Eingrenzung der Zugriffsrechte sowohl regional als auch funktional erfolgen.409 So werden z. B. Mitarbeiter eines zentralen Callcenters der Bank in Abhängigkeit von ihrer konkreten Aufgabe regional unbeschränkten aber funktional eingeschränkten Zugriff auf die Kundensysteme erhalten. Neben den Kundenbetreuern sind natürlich auch zentrale Abteilungen wie die Revision oder der Datenschutz im Rahmen ihrer Aufgabenerfüllung berechtigt, auf die erforderlichen Kundendaten zuzugreifen. Die Einrichtung abgestufter Berechtigungskonzepte nach dem Need-to-KnowPrinzip für die IT-Systeme ist auch gem. § 9 und Anlage BDSG notwendig. § 9 und Anlage BDSG fordert dies allerdings im Gegensatz zum internen Bankgeheimnis aus dem Aspekt der IT-Sicherheit heraus.
11.4 Legitime Grundlagen einer Weitergabe von Kundeninformationen 11.4.1 Einwilligung, gesetzliche Offenbarungspflicht und Bankauskunft Die Grundlagen für eine Weitergabe von Kundeninformationen sind im Wortlaut der AGB-Banken ausdrücklich genannt: „Informationen über den Kunden darf die Bank nur weitergeben, wenn gesetzliche Bestimmungen dies gebieten oder der Kunde eingewilligt hat oder die Bank zur Erteilung einer Bankauskunft befugt ist.“410 Neben der Einwilligung und der Bankauskunft kann die Bank also nur aufgrund eines Gesetzes Kundendaten weitergeben. Die einzelnen Rechtsgrundlagen für eine Datenweitergabe werden im Kapitel 13 „Die Zulässigkeit der Verarbeitung von Kundendaten“ im Vergleich mit den Rechtsgrundlagen des Datenschutzes für eine Datenverarbeitung ausführlich dargestellt.
11.4.2 Ausnahme vom Bankgeheimnis u. a. wegen Vertragsbruches des Kunden Eine Möglichkeit der Weitergabe von Kundendaten, die in den AGB-Banken nicht explizit genannt ist, wird aus dem Grundsatz von Treu und Glauben gem. § 242 BGB ableitet. Wenn sich der Kunde nicht vertragstreu verhält, ist auch die Bank
409
Weber, BuB, Rn. 2/852 f.
410
§ 2 AGB-Banken.
158
11 Die Grundlagen des Bankgeheimnisses
nicht mehr an alle Verpflichtungen aus dem Bankvertrag gebunden. Konkret ist die Bank nicht mehr vollumfänglich an das Bankgeheimnis gebunden, wenn z. B. der Kunde einen Kredit nicht ordnungsgemäß zurückführt und keine Raten mehr zahlt.411 In diesem Fall kann die Bank die Kundendaten und die kreditrelevanten Informationen an Interessenten weitergeben, die die Not leidende Forderung erwerben wollen.412 Hier zeigt sich deutlich der vertragliche Charakter des Bankgeheimnisses. In besonders gelagerten Ausnahmefällen kommen auch Notwehr und Nothilfe (§ 227 BGB, § 32 StGB) und rechtfertigender und entschuldigender Notstand (§§ 34, 35 StGB) als Rechtsgrundlage für eine Datenweitergabe in Betracht.413
11.5 Die Privilegierung der Banken in bestimmten Gerichtsverfahren und im Besteuerungsverfahren aufgrund des Bankgeheimnisses 11.5.1 Das Bankgeheimnis im Zivilprozess und in verwandten Gerichtsverfahren Im Zivilprozess ist ein Zeuge zur Aussageverweigerung gem. § 383 Abs. 1 Nr. 6 und § 384 Nr. 3 Zivilprozessordnung (ZPO) berechtigt, soweit seine Aussage Tatsachen betrifft, die unter ein Gewerbegeheimnis fällt. Das Bankgeheimnis fällt unter diese Regelung, so dass der Mitarbeiter der Bank zur Zeugnisverweigerung berechtigt ist und gegenüber dem Kunden aufgrund des Bankvertrages sogar vertraglich verpflichtet ist.414 Diese Vorschrift der ZPO gilt entsprechend in anderen Verfahrensarten, die auf die Vorschriften der ZPO verweisen, wie z. B. im Arbeitsgerichtsprozess, im Konkursverfahren, im Vergleichsverfahren, in Verfahren der freiwilligen Gerichtsbarkeit, im Verwaltungsgerichtsverfahren und im Sozialgerichtsverfahren.415 Der Drittschuldner hat im Zwangsvollstreckungsverfahren gem. § 840 ZPO auf Verlangen des Gläubigers nach Zustellung des Pfändungs- und Überweisungsbeschlusses die Drittschuldnererklärung abzugeben. Trotz des Bankgeheimnisses besteht diese Pflicht auch für Kreditinstitute. Im Finanzgerichtsverfahren besteht aufgrund des Bankgeheimnisses dagegen kein Zeugnisverweigerungsrecht.416
411
Bruchner/Krepold, Bankrechts-Handbuch I, § 39 Rn. 58 ff.
412
U.a. Nobbe, WM 2005, 1537 (1547).
413
Weber, BuB, Rn. 2/923 ff.
414
Bruchner/Krepold, Bankrechts-Handbuch I, § 39 Rn. 282.
415
Weber, BuB, Rn. 2/863.
416
Vgl. § 84 FGO i.V.m. §§ 101 bis 103 AO.
11.5 Die Privilegierung der Banken in bestimmten Gerichtsverfahren
159
11.5.2 Das Bankgeheimnis im Besteuerungsverfahren Hinsichtlich des Bankgeheimnisses im Besteuerungsverfahren ist zunächst zwischen dem Besteuerungsverfahren des Kunden und dem Besteuerungsverfahren der Bank zu unterscheiden. Beim Besteuerungsverfahren des Kunden trifft die Bank grundsätzlich eine Mitwirkungspflicht gem. § 93 AO (Abgabenordnung). Dabei ist jedoch der Subsidiaritätsgrundsatz zu beachten, wonach von Dritten gem. § 93 AO erst dann Auskunft verlangt werden soll, wenn beim Steuerpflichtigen die Aufklärung des Sachverhaltes nicht zum Ziel führt oder keinen Erfolg verspricht. Denn nach dem sog. Erklärungsgrundsatz im Steuerrecht ist zunächst davon auszugehen, dass die Angaben des Steuerpflichtigen vollständig und richtig sind.417 Hinsichtlich der Auskunft bei Banken bezüglich ihrer Kunden ist der Subsidiaritätsgrundsatz speziell in § 30a Abs. 1 AO geregelt, wonach die Finanzbehörden auf das zwischen Bank und Kunden bestehende Bankgeheimnis besonders Rücksicht nehmen muss. Die Auskunftsersuchen an Banken sind soweit zu begründen, dass die Bank in der Lage ist, die Rechtmäßigkeit und die Erforderlichkeit des Ersuchens beurteilen zu können. Auskünfte „ins Blaue hinein“ sind unzulässig.418 Beim Besteuerungsverfahren der Bank ist § 30a Abs. 3 AO einschlägig. Danach dürfen Konten und Depots, bei deren Eröffnung eine Legitimationsprüfung gem. § 154 Abs. 2 AO durchgeführt worden ist, nicht zum Gegenstand der Nachprüfung der ordnungsgemäßen Versteuerung des Kreditinstituts gemacht werden.
417
Dahm, BuB, Rn. 2/870 f.
418
Dahm, BuB, Rn. 2/872 f. (zu Auskunftsersuchen wg. US-Kontrollmitteilungen Rn. 2/878).
12 Grundzüge des Datenschutzes
Das BDSG schützt das Recht auf informationelle Selbstbestimmung natürlicher Personen.419 Es bildet die Grundlage des Datenschutzes in Deutschland.
12.1 Das Verbot mit Erlaubnisvorbehalt Eine Datenverarbeitung ohne rechtliche Grundlage ist gem. § 4 Abs. 1 nach dem Verbot mit Erlaubnisvorbehalt unzulässig. Dieser Grundsatz besagt, dass eine Datenverarbeitung nur zulässig ist, wenn sie auf der Grundlage einer Einwilligung, eines Gesetzes oder auf Basis des BDSG erfolgt.420 Der Begriff Verbot mit Erlaubnisvorbehalt ist dem allgemeinen Verwaltungsrecht entliehen. Dort bezeichnet er ein in einem Gesetz enthaltenes präventives Verbot, das aber durch eine behördliche Genehmigung (z. B. eine Baugenehmigung) in eine Erlaubnis umgewandelt werden kann. Insofern ist der Begriff in Hinblick auf das BDSG nicht ganz korrekt. Er ist aber als Veranschaulichung der rechtlichen Figur des § 4 Abs. 1 sehr verbreitet.
12.2 Der Grundsatz der Datenerhebung beim Betroffenen Der Grundsatz der Datenerhebung beim Betroffenen leitet sich unmittelbar aus dem Recht auf informationelle Selbstbestimmung ab.421 Nur wenn personenbezogene Daten unmittelbar beim Betroffenen erhoben werden, kann er das Recht, selbst über die Preisgabe und Verarbeitung seiner Daten zu bestimmen, wahrnehmen. Personenbezogene Daten sind gem. § 4 Abs. 2 BDSG grundsätzlich beim Betroffenen zu erheben, wobei der Betroffene von der verantwortlichen Stelle über deren Identität und über den Zweck der Datenverarbeitung zu informieren ist (§ 4 Abs. 3 Nr. 1 und Nr. 2). Über die Kategorien der Datenempfänger ist der Betroffene zu unterrichten, soweit er mit einer Übermittlung an diese Empfänger nicht rechnen musste (§ 4 Abs. 3 Nr. 1). Hat der Betroffene diese Informationen bereits auf andere Weise erhalten, sind die o. g. Angaben der verantwortlichen Stelle entbehrlich (§ 4 Abs. 3 Satz 1). 419
Zu der genauen Unterscheidung zwischen Privat- und Firmenkunden vgl. oben Kapitel 9.3.1.
420
Gola/Schomerus, BDSG § 4 Rn. 3 ff.
421
Gola/Schomerus, BDSG § 4 Rn. 21.
162
12 Grundzüge des Datenschutzes
12.2.1 Unterrichtungspflicht und Freiwilligkeitshinweis Der Betroffene ist gem. § 4 Abs. 3 Satz 1 Nr. 1-3 von der verantwortlichen Stelle über deren Identität, die Zweckbestimmung der Datenverarbeitung und über die Kategorien von Empfängern zu unterrichten. Der Betroffene muss gem. § 4 Abs. 3 Satz 2 und 3 auch darüber informiert werden, ob die Mitteilung seiner personenbezogenen Daten für ihn aufgrund einer Rechtsvorschrift verpflichtend oder für die Gewährung von Rechtsvorteilen notwendig ist. Er ist zudem auf die Konsequenzen im Falle der Nichtangabe hinzuweisen (§ 4 Abs. 3 Satz 2). Dem Betroffenen muss auch im Einzelnen dargelegt werden, welche Angaben freiwillig sind (§ 4 Abs. 3 Satz 2).422 In den Kontoeröffnungsanträgen der Bank wird beispielsweise nach den Kontaktdaten der Privatkunden gefragt. Die Angabe der Telefonnummer ist für den Kunden in diesem Zusammenhang vorteilhaft, damit eine unkomplizierte Kontaktaufnahme bei Rückfragen der Bank möglich ist. Erforderlich für die Durchführung des Vertrages mit der Bank ist die Telefonnummer allerdings nicht. Darauf ist der Privatkunde z. B. in einer Erläuterung in einer Fußnote hinzuweisen. Dies gilt auch für Formulare, die im Internet ausgefüllt werden. Hier ist mittlerweile geschäftsüblich die Felder, die nicht unbedingt erforderlich und damit freiwillig angegeben werden können, mit einem Sternchen („*“) zu versehen. Der Freiwilligkeitshinweis ist dabei von der Einwilligung zur Datenverarbeitung gem. § 4a BDSG zu unterscheiden. Die Einwilligung bedarf der Schriftform und kann nicht durch einen bloßen Freiwilligkeitshinweis ersetzt werden.423 Ein konkreter Streitpunkt zwischen den Aufsichtsbehörden und den Banken war in diesem Zusammenhang die Frage, ob der Kunde bei Abschluss des Bankvertrages darauf hinzuweisen ist, dass die Bank die Kundendaten auch zu Werbezwecken nutzen wird. Die Aufsichtsbehörden vertraten die Ansicht, eine Nutzung zu Werbezwecken sei unzulässig, wenn ein entsprechender Hinweis zu Anfang des Vertragsverhältnisses fehle. Ein Teil der Banken hat argumentiert, der Kunde habe in jedem Fall die Möglichkeit, der Werbung gem. § 28 Abs. 4 zu widersprechen. Insofern unterscheide sich die Situation des Kunden nicht von der Lage eines beworbenen Nichtkunden. Auch diese müssten ein erstes Werbeschreiben hinnehmen und könnten dann mit Hilfe eines Werbewiderspruches die Werbung für die Zukunft unterbinden.424
12.2.2 Die Datenerhebung ohne Mitwirkung des Betroffenen Das Gesetz sieht gem. § 4 Abs. 2 Satz 2 als Ausnahmetatbestand auch eine Datenerhebung ohne Mitwirkung des Betroffenen vor. Eine Datenerhebung ohne Mitwirkung des Betroffenen ist grundsätzlich möglich, wenn 422
Bergmann/Möhrle/Herb, Datenschutzrecht, § 4 Rn. 39 ff.
423
Sokol, in Simits BDSG, § 4 Rn. 50.
424
Schaffland/Wiltfang, BDSG, § 4 Rn. 13.
12.3 Die Zweckbindung
163
x die Datenerhebung aufgrund eines Gesetzes erfolgt oder x der Geschäftszweck eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder x eine Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde. Die Datenerhebung bei anderen Stellen ist allerdings nur zulässig, wenn darüber hinaus keine Anhaltspunkte dafür bestehen, dass überwiegende Interessen des Betroffenen beeinträchtigt werden (§ 4 Abs. 2 Satz 2 letzter Halbsatz). Für die Praxis bedeutet diese Vorschrift, dass im Zweifel die Interessen des Betroffenen schwerer wiegen als das Interesse der verantwortlichen Stelle, die Daten nicht beim Betroffenen zu erheben.
12.3 Die Zweckbindung Ein wesentlicher Grundsatz der Datenverarbeitung nach dem BDSG ist deren Bindung an einen vorher festgelegten Zweck. Die Zweckbindung kommt in § 4a Abs. 1 Satz 1 (Einwilligung) und in § 28 Abs. 1 Satz 2 zum Ausdruck.425 Das BVerfG hat in seiner Volkszählungsentscheidung die Zweckbindung als ein Grundprinzip der Datenverarbeitung bezeichnet. Der Zweck der Datenverarbeitung ist demnach sowohl bei einer Datenverarbeitung aufgrund einer Einwilligung als auch bei einer Datenverarbeitung aufgrund überwiegenden Interesses vorab konkret zu definieren. Auf die Zweckbestimmung ist der Betroffene gem. § 4 Abs. 3 Nr. 2 vor der Verarbeitung entsprechend hinzuweisen. Zur Zweckänderung vgl. Kapitel 13.3.2 „Die Datenverarbeitung gem. § 28 BDSG“. Im Bereich der Datenverarbeitung im Internet und in der Telekommunikation ist die Zweckbindung noch deutlich strenger als die im BDSG.426
12.4 Datenvermeidung und Datensparsamkeit Der Grundsatz der Datenvermeidung und der Datensparsamkeit ist in § 3a verankert. Danach sind Datenverarbeitungssysteme so zu gestalten, dass sie keine oder so wenig wie möglich Daten verarbeiten. Angesichts des Ausmaßes der heutigen Datenhaltung in der Privatwirtschaft kann bezweifelt werden, ob dieser Grundsatz die Wirkung entwickelt hat, die ihm vom Gesetzgeber zugedacht war.427 Als ge-
425
Gola/Schomerus, BDSG, § 28 Rn. 53 a.
426
Vgl. Kapitel 15.1.4.1.
427
Bizer, in Simits, BDSG, § 3a Rn. 3 ff.
164
12 Grundzüge des Datenschutzes
setzliche Zielvorgabe hat dieser Grundsatz heute vor allem Bedeutung in einzelnen Abwägungsentscheidungen.428 Sobald eine Anonymisierung oder Pseudonymisierung nicht unverhältnismäßig sind, sind die Daten in solcher Form zu verarbeiten (§ 3a Satz 2). Von einer anonymisierten bzw. pseudonymisierten Datenverarbeitung wird in der regulären Bankpraxis nur selten Gebrauch gemacht, da sie für die Verarbeitung von Kundendaten nicht zweckdienlich sind.429 Dennoch sind beide Methoden für einzelne Verarbeitungsarten insbesondere bei der Einschaltung Dritter wichtig. Ein Beispiel für eine anonymisierte Datenverarbeitung ist die Test- und Entwicklungsumgebung. Dort werden neue IT-Systeme vor ihrem Einsatz auf ihre Funktionsfähigkeit getestet, wobei keine Originaldaten, sondern anonymisierte Testdaten verwendet werden. Anonymisierung und Pseudonymisierung unterscheiden sich insofern, als bei einer Anonymisierung die Daten nur durch einen unverhältnismäßig hohen Aufwand an Zeit, Kosten und Arbeitskraft wieder repersonalisiert werden können, während die Repersonalisierung bei der Pseudonymisierung mit weniger Aufwand betrieben werden kann. Beim der Pseudonymisierung besteht i.d.R. eine Referenzliste mit Hilfe derer die Herstellung des Personenbezuges unmittelbar möglich ist.430
12.5 Rechte des Betroffenen Fundamental für das Grundrecht auf informationelle Selbstbestimmung und die Möglichkeit des Betroffenen, selbst über die Preisgabe und Verwendung seiner Daten bestimmen zu können, sind die Rechte, die das BDSG dem Betroffenen einräumt. Der Betroffene hat das Recht auf Auskunft gem. § 34 und das Recht, über die Verarbeitung seiner Daten gem. § 33 benachrichtigt zu werden. Unter bestimmten Voraussetzungen hat der Betroffene zudem gem. § 35 das Recht, seine Daten berichtigen, löschen oder sperren zu lassen. Diese Rechte des Betroffenen sind unabdingbar, d. h. die Rechte können weder eingeschränkt noch kann auf sie verzichtet werden.
12.5.1 Das Recht auf Auskunft Das wichtigste Recht des Betroffenen ist das Recht auf Auskunft gem. § 34.
428
Lewinski, RDV 2003, 122.
429
Bergmann/Möhrle/Herb, Datenschutzrecht, § 3a Rn. 17.
430
Gola/Schomerus, BDSG, § 3a Rn. 10.
12.5 Rechte des Betroffenen
165
12.5.1.1 Umfang der herauszugebenden Daten Der Betroffene kann zunächst Auskunft darüber verlangen, welche Daten zu seiner Person überhaupt gespeichert sind (§ 34 Abs. 1 Nr. 1). Ein Bankkunde kann also von der Bank verlangen, dass die Bank darlegt, welche personenbezogenen Daten in den IT-Systemen über ihn gespeichert sind. Die Bank hat dem Ersuchen Folge zu leisten. In der Praxis wird diskutiert, welchen Umfang das herauszugebende Datenmaterial sinnvoller Weise haben soll. Werden alle Daten431 in allen Systemen der Bank an den Kunden herausgegeben, enthält die Auskunft möglicherweise eine Vielzahl von Angaben, die für den Kunden nicht von Belang sind. So kann z. B. die Auflistung von Kontosalden eines Girokontos verzichtet werden, da der Kunde diese Daten im Laufe der gewöhnlichen Kontoführung bereits über die Kontoauszüge oder die Informationsmöglichkeiten des Online-Banking erhält. Andererseits ist selbstverständlich, dass dem Kunden keine Informationen, die für ihn relevant sein könnten, vorenthalten werden dürfen. 12.5.1.2 Weitere Informationen über die gespeicherten Daten Neben den eigentlichen personenbezogenen Daten, die bei einer verantwortlichen Stelle gespeichert sind, hat der Betroffene das Recht, noch weitere Informationen zu erhalten. Der Betroffene ist gem. § 34 Abs. 1 Nr. 3 auch über den Zweck der Datenspeicherung aufzuklären. Die Zweckbestimmung ist im Datenschutz elementar um die verschiedenen Verwendungs- und Verarbeitungsarten von vornherein in ihrem Umfang zu beschränken und ist daher auch vom Auskunftsrecht umfasst.432 Damit wird der Betroffenen in die Lage versetzt, sich ein Gesamtbild der Datenverarbeitung zu verschaffen. Das Auskunftsrecht beinhaltet sowohl die Quelle, von der die der verantwortlichen Stelle die Daten erhalten hat (§ 34 Abs. 1 Nr. 1) als auch die Empfänger, an die die verantwortliche Stelle die Daten weitergibt. Eine Erleichterung für die verantwortliche Stelle ist insofern vorgesehen, als auch die Angabe der Empfängerklassen („Kategorien von Empfängern“) ausreicht, wenn damit dem Auskunftsbegehren ausreichend Rechnung getragen werden kann.433 12.5.1.3 Form Für die Auskunft ist gem. § 34 Abs. 3 grundsätzlich die Schriftform vorgeschrieben. Ausnahmsweise kann eine andere Form angemessen sein.
431
Dix in Simitis, BDSG, § 34 Rn. 15.
432
Dix in Simitis, BDSG, § 34 Rn. 31.
433
Gola/Schomerus, BDSG, § 34 Rn. 11.
166
12 Grundzüge des Datenschutzes
12.5.1.4 Unentgeltlichkeit Die Auskunft ist grundsätzlich unentgeltlich zu erteilen (§ 34 Abs. 5 Satz 1). Dies entspricht der Praxis der Kreditinstitute. Eine Ausnahme ist u. a. für Auskunfteien vorgesehen (§ 34 Abs. 5 Satz 2), sofern der Betroffene die Auskunft gegenüber Dritten zu wirtschaftlichen Zwecken nutzen kann. Dabei ist der Betrag, der für die Auskunft erhoben werden kann, in der Höhe begrenzt auf die Kosten, die für die Auskunftserteilung selbst entstanden sind. Die Vorschrift ist relevant für die Auskunft, die der Betroffene von der Schufa über sich selbst erhält. Die Höhe des Entgeltes einer sog. Selbstauskunft ist dabei zwischen Schufa und den Datenschutzaufsichtsbehörde streitig.434 12.5.1.5 Ausnahmen vom Recht der Auskunft Ausnahmen vom Auskunftsrecht sind in § 34 Abs. 4 geregelt, der wiederum auf § 33 verweist. Der in der Praxis wichtigste Fall ist die Speicherung der Daten aufgrund gesetzlicher Aufbewahrungsvorschriften. Nach den Vorschriften des Handelsgesetzbuches bzw. der Abgabenordnung müssen bestimmte geschäftsrelevante Informationen 6 beziehungsweise 10 Jahre aufbewahrt werden. Wurde der Bankvertrag mit dem Kunden gekündigt, besteht also weiterhin für die Bank eine Pflicht zur Speicherung bestimmter Kundendaten. Diese Daten sind allerdings aus den operativen Kundensystemen zu entfernen und in gesonderte Archivsysteme zu überführen. Bezüglich dieser Daten hat der ehemalige Kunde kein Auskunftsrecht mehr. 12.5.1.6 Das Auskunftsrecht in der Praxis Die Auskunftsersuchen von Kunden gegenüber der Bank sind selten, weisen allerdings eine ansteigende Tendenz auf. Zu einem großen Teil resultieren die Auskunftsersuchen zudem aus Störungen im Kundenverhältnis, die nicht unmittelbar mit dem Datenschutz in Verbindung stehen.
12.5.2 Das Recht auf Berichtigung, Löschung und Sperrung Neben dem Auskunftsrecht hat der Betroffene das Recht auf Berichtigung, Löschung oder Sperrung seiner Daten. Die verantwortliche Stelle hat die Pflicht, unrichtige Daten gem. § 35 Abs. 1 zu berichtigen. Diese Pflicht besteht unabhängig von der Geltendmachung des Betroffenen ab dem Zeitpunkt, ab dem die verantwortliche Stelle Kenntnis von der Unrichtigkeit der Daten erhält. Unrichtige Daten sind dabei solche, die nicht mit der Realität übereinstimmen. Davon sind nur Tatsachen nicht aber Wertungen umfasst. Die Unrichtigkeit einer Angabe kann auch durch einen Kontextverlust der Daten entstehen.435 434
Bergmann/Möhrle/Herb, Datenschutzrecht, § 34 Rn. 81 ff.
435
Gola/Schomerus, BDSG, § 34 Rn. 3 f.
12.5 Rechte des Betroffenen
167
Die verantwortliche Stelle darf gem. § 35 Abs. 2 Satz 1 die Daten löschen, sofern keine Aufbewahrungspflichten bestehen oder schutzwürdige Interessen des Betroffenen entgegenstehen. Dagegen besteht eine Pflicht zur Löschung gem. § 35 Abs. 2 Satz 2, insbesondere wenn die Speicherung der Daten unzulässig oder ihre Speicherung für den Zweck des Bankvertrages nicht mehr erforderlich ist. Ein Beispiel für eine Löschverpflichtung ist die Löschung von Abmahnungen im Arbeitsverhältnis, die sich durch Zeitablauf erledigt haben. Die Sperrung der Daten ersetzt eine Löschung insbesondere für den Fall, dass der Löschung Aufbewahrungsvorschriften entgegenstehen (§ 35 Abs. 3 Nr. 1). In der Bankpraxis werden bei Beendigung eines Vertrages diejenigen Kundendaten, die aufgrund der gesetzlichen Aufbewahrungsvorschriften weiterhin zu speichern sind, aus den operativen Kundensystemen in Archivsysteme überführt. Damit sind sie gesperrt, da die Kundenberater der Bank keinen Zugriff mehr auf diese Daten haben. Ein Recht auf Sperrung besteht gem. § 35 Abs. 4 auch, sofern die inhaltliche Richtigkeit der Daten zwischen Bank und Kunden streitig ist und kein Beweis für die eine oder andere Seite geführt werden kann. Andere verantwortliche Stellen, an die die ursprünglich verantwortliche Stelle Daten übermittelt hat, sind grundsätzlich gem. § 35 Abs. 7 von der Berichtigung, Sperrung oder Löschung der entsprechenden Daten zu informieren.
12.5.3 Das Recht auf Benachrichtigung Der Betroffene ist von der Speicherung seiner personenbezogenen Daten gem. § 33 Abs. 1 zu benachrichtigen, wenn dessen Daten von einer nicht-öffentlichen Stelle erstmals gespeichert werden. Diese Vorschrift ist als Ergänzung zum Grundsatz der Direkterhebung gem. § 4 Abs. 2 zu sehen. Nur wenn der Betroffene Kenntnis von der Datenspeicherung hat, kann er sein Recht auf informationelle Selbstbestimmung wahrnehmen. Die Benachrichtigung umfasst die Art der Daten, die Zweckbestimmung der Verarbeitung und die Identität der verantwortlichen Stelle (§ 33 Abs. 1 Satz 1). Zum Teil wird gefordert, dass wenn die verantwortliche Stelle den Zweck der Datenverarbeitung ändert, der Betroffene hierüber zu benachrichtigen ist.436 Mitzuteilen sind gem. § 33 Abs. 1 Satz 2 auch die Kategorien der Empfänger, soweit der Betroffene nicht mit der entsprechenden Übermittlung an diese Stellen rechnen musste. § 33 Abs. 2 sieht für bestimmte Fälle Ausnahmen von der Benachrichtigungspflicht vor, wobei folgende Ausnahmen für die Praxis besonders relevant sind:
436
Gola/Schomerus, BDSG, § 33 Rn. 5.
168
12 Grundzüge des Datenschutzes
1. Eine Benachrichtigungspflicht besteht nicht, wenn der Betroffene auf andere Weise Kenntnis von der Datenverarbeitung erlangt hat (§ 33 Abs. 2 Nr. 1). 2. Eine Benachrichtigungspflicht besteht daneben gem. § 33 Abs. 2 Nr. 2 nicht, wenn die Daten nur noch aufgrund von Aufbewahrungsvorschriften gespeichert werden bzw. der Datensicherung dienen und die Benachrichtigung einen unverhältnismäßig großen Aufwand erfordern würde. Eine besondere Form ist für die Benachrichtigung nicht vorgesehen. Eine vorsätzlich oder fahrlässig unterbliebene Benachrichtigung ist gem. § 43 Abs. 1 Nr. 8 bußgeldbewehrt. Eine Datenverarbeitung wird allerdings nicht dadurch unzulässig, dass die Benachrichtigung nicht erfolgt ist.
12.6 Der Datenschutzbeauftragte 12.6.1 Die Bestellpflicht und der Widerruf der Bestellung Die Kreditinstitute sind gesetzlich verpflichtet, einen Datenschutzbeauftragten zu bestellen (§ 4f Abs. 1 Satz 1). Die Bestellung hat schriftlich437 spätestens innerhalb eines Monates nach Aufnahme des Geschäftsbetriebes zu erfolgen (§ 4f Abs. 1 Satz 2). Unterbleibt die Bestellung eines Datenschutzbeauftragten, begeht die verantwortliche Stelle eine Ordnungswidrigkeit gem. § 43 Abs. 1 Nr. 2, die mit einer Geldbuße bis 25.000 € geahndet werden kann (§ 43 Abs. 3). Durch die Bestellung des Datenschutzbeauftragten entfällt für die verantwortliche Stelle die Meldepflicht gem. § 4d i.V.m. § 4e. Ein Widerruf der Bestellung durch die verantwortliche Stelle kann gem. § 4f Abs. 3 Satz 4 nur analog § 626 BGB wegen eines wichtigen Grundes erfolgen. Über das Arbeitsverhältnis zwischen dem internen Datenschutzbeauftragten und der verantwortlichen Stelle äußert sich das BDSG nicht. Faktisch bedeutet die beschränkte Widerrufsmöglichkeit der verantwortlichen Stelle aber einen besonderen Kündigungsschutz für den internen Datenschutzbeauftragten, da die Gründe für eine ordentliche Kündigung nicht zum Widerruf der Bestellung rechtfertigen.438 Darüber hinaus kann die Bestellung zum Datenschutzbeauftragten durch die zuständige Datenschutzaufsichtsbehörde widerrufen werden (§ 4f Abs. 3 Satz 4). Die Bank trifft zudem eine Unterstützungspflicht gem. § 4f Abs. 5, den Datenschutzbeauftragten ausreichend personell, finanziell und mit Sachmitteln auszustatten und ihm so die Wahrnehmung seiner Aufgaben zu ermöglichen. Konkrete Einzelmaßnahmen, wie etwa die Verpflichtung, dem Datenschutzbeauftragten eine bestimmte Anzahl von Mitarbeitern zur Verfügung zu stellen, können aus
437
Gola/Schomerus, BDSG, § 4f Rn. 30.
438
Gola/Schomerus, BDSG, § 4f Rn. 41.
12.6 Der Datenschutzbeauftragte
169
dieser Vorschrift nur schwerlich abgeleitet werden.439 Eine annähernde Bestimmung der erforderlichen Mittel, die dem Datenschutzbeauftragten zur Verfügung gestellt werden müssen, kann aber durch ein Vergleich mit ähnlich großen Unternehmen der gleichen Branche erfolgen.440 Die Unterstützungspflicht bezieht sich auch darauf, den Datenschutzbeauftragten die Durchführung seiner Tätigkeit zu ermöglichen und zu erleichtern.441
12.6.2 Der gesetzliche Auftrag des Datenschutzbeauftragten 12.6.2.1 Die Einhaltung der Datenschutzgesetze Der Datenschutzbeauftragte wirkt gem. § 4g Abs.1 Satz 1 auf die Einhaltung der Datenschutzgesetze und sonstigen Bestimmungen des Datenschutzes hin. Damit wird klargestellt, dass nicht der Datenschutzbeauftragte sondern die Geschäftsleitung die Verantwortung für die Einhaltung der Datenschutzgesetze trägt.442 Die Aufgabe des Datenschutzbeauftragten liegt insbesondere darin, die Gesetze auszulegen und die Geschäftsleitung auf mögliche Datenschutzverstöße hinzuweisen. 12.6.2.2 Die Vorabkontrolle Der Datenschutzbeauftragte hat IT-Systeme, die personenbezogene Daten verarbeiten und besondere Risiken für die informationelle Selbstbestimmung der Betroffenen bergen, vor ihrer Einführung gem. § 4d Abs. 5 auf die Datenschutzkonformität hin zu prüfen und eine sog. Vorabkontrolle durchzuführen. Die Vorabkontrolle stellt eine Prüfung der materiellen Zulässigkeit der Datenverarbeitung dar.443 Eine Vorabkontrolle ist insbesondere durchzuführen, bei Verarbeitungen, die besondere Arten von personenbezogenen Daten i.S.d. § 3 Abs. 9 – wie z. B. Gesundheitsdaten – verarbeiten oder bei der Verarbeitung von Daten, die geeignet sind, die Persönlichkeit des Betroffenen zu bewerten (§ 4d Abs. 5 Nr. 1 und 2.). Die genannten Beispiele sind nicht abschließend, sondern sind sog. Regelbeispiele, die nur zur Veranschaulichung genannt werden. Die Vorabkontrolle ist ausnahmsweise gem. § 4d Abs. 5 Satz 2 letzter Halbsatz dann nicht erforderlich ist, wenn die Verarbeitung aufgrund einer gesetzlichen Verpflichtung, der Einwilligung des Betroffenen oder aufgrund eines Vertrages mit dem Betroffenen erfolgt. Im Ergebnis muss der Datenschutzbeauftragte im Einzelfall abwägen, ob eine Vorabkontrolle erforderlich ist.
439
Simitis in Simitis, BDSG, § 4f Rn. 142.
440
Z.B. erstellt die GDD solche Übersichten, die allerdings nicht öffentlich zugänglich sind; www.gdd.de.
441
Bergmann/Möhrle/Herb, Datenschutzrecht, § 4f Rn. 161 ff.
442
Gola/Schomerus, BDSG, § 4g Rn. 2.
443
Bergmann/Möhrle/Herb, Datenschutzrecht, § 4d Rn. 46.
170
12 Grundzüge des Datenschutzes
12.6.2.3 Die ordnungsgemäße Anwendung der IT-Programme Für den Fall, dass keine Vorabkontrolle durchzuführen ist, hat der Datenschutzbeauftragte gleichwohl die ordnungsgemäße Anwendung der IT-Programme gem. § 4g Abs. 1 Nr. 1 zu überwachen. Diese Überwachung gehört zur Kernaufgabe des Datenschutzbeauftragten.444 Um diese Überwachung zu ermöglichen, hat die verantwortliche Stelle den Datenschutzbeauftragten über die Einführung von neuen IT-Projekten zu informieren. In Folge der großen Bilanzskandale in den USA u. a. bei Enron, wurde auch in Deutschland über die Konsequenzen, die daraus für die Unternehmensführung zu ziehen sind, ausführlich diskutiert. Eine weit verbreitete Konsequenz war die Einführung einer sog. Governance, die die innere Ordnung von Unternehmen und die ordnungsgemäße Bilanzierung neu bzw. ausführlicher definiert. Für den IT-Bereich wurde dabei i.d.R eine sog. ITGovernance eingeführt, die einen guten Ansatz für den Datenschutzbeauftragten bildet, sich in den Antragsprozess für neue IT-Projekte formal einzubinden. Durch eine auf diese Weise verankerte generelle Informationspflicht kann gewährleistet werden, dass der Datenschutzbeauftragte über alle neuen IT-Projekte rechtzeitig Kenntnis erlangt. 12.6.2.4 Datenschutzmanagement Mit dem Begriff Datenschutzmanagement bezeichnet man die prozesshafte Sicht auf die Aufgaben des Datenschutzbeauftragten in der Bank. Analog zu den Aufgaben des IT-Sicherheitsbeauftragten ist eine Methode sinnvoll, die von einer Risikoanalyse ausgeht und über eine Risikobewertung und -priorisierung einen immer wiederkehrenden Prozess anstößt, der insgesamt die Qualität des Datenschutzes im Unternehmen verbessert.445 Ein wichtiger Aspekt ist auch hier die Einbindung des Datenschutzes in die bestehenden Projektgenehmigungsprozesse. 12.6.2.5 Schulung der Mitarbeiter Der Datenschutzbeauftragte hat die Mitarbeiter, die mit personenbezogenen Daten arbeiten, zu schulen (§ 4g Abs.1 Nr. 2). In der Bank ist die überwiegende Zahl von Mitarbeitern mit der Verarbeitung personenbezogener Daten betraut. In großen Unternehmen wird oft eine Webschulung im Intranet durchgeführt. Mit Hilfe von Kontrollfragen wird das Verständnis des Schulungsinhaltes abgefragt.
444
Gola/Schomerus, BDSG, § 4g Rn. 18.
445
Für den Bereich IT-Sichertheit: Witt, IT-Sicherheit, Kapitel 3.2.
12.6 Der Datenschutzbeauftragte
171
12.6.3 Die besondere Rechtsstellung des Datenschutzbeauftragten 12.6.3.1 Teil des zweistufigen Kontrollsystems Der Datenschutzbeauftragte ist der eine Teil des zweistufigen Kontrollsystems der Datenschutzaufsicht.446 Der andere Teil ist die Aufsichtsbehörde für den Datenschutz gem. § 38. In der Diskussion zwischen freiwilliger Selbstkontrolle und ausschließlicher staatlicher Aufsicht hat sich das BDSG für einen Kompromiss aus beiden Modellen entschieden.447 Dies hat zur Konsequenz, dass der betriebliche Datenschutzbeauftragte als ausführendes Organ der Selbstkontrolle sich in der Praxis in einer besonderen Konfliktlage zwischen Unternehmensinteresse und Einhaltung der Datenschutzgesetze befindet. Daher hat das BDSG dem Datenschutzbeauftragten eine besondere Rechtsstellung verliehen. 12.6.3.2 Direkte Unterstellung unter die Geschäftsleitung Der Datenschutzbeauftragte ist der Geschäftsleitung gem. § 4f Abs. 3 Satz 1 direkt zu unterstellen. In der Praxis existiert regelmäßig noch eine Hierachieebene zwischen Vorstand und dem Datenschutzbeauftragten. Der Datenschutzbeauftragte wird aber mit einer direkten Berichtslinie zum Vorstand ausgestattet. Wichtig ist auch die Entscheidung, welchem Vorstandsbereich der Datenschutzbeauftragte zugeordnet wird. Die Zuordnung zum IT-Vorstand hat den Vorteil, dass der Datenschutzbeauftragte unmittelbar in den Informationsaustausch der ITFunktion eingebunden ist und von anstehenden IT-Projekten frühzeitig erfährt. Die Zuordnung zu einem anderen Vorstandsbereich als dem IT-Bereich hat den Vorteil, dass der Datenschutzbeauftragte faktisch unabhängiger ist, weil er von außen in die IT- Funktion eingreifen kann. 12.6.3.3 Weisungsfreiheit Der Datenschutzbeauftragte ist weisungsunabhängig (§ 4f Abs. 3 Satz 2). Er ist Mitarbeiter der Bank, hat aber gleichzeitig einen gesetzlichen Auftrag zu erfüllen. Dafür wird ihm mit der Weisungsfreiheit eine Unabhängigkeit verliehen, die es ihm ermöglicht, die Belange des Datenschutzes zu vertreten. 12.6.3.4 Diskriminierungsverbot Der Datenschutzbeauftragte ist zudem durch ein spezielles Diskriminierungsverbot gem. § 4f Abs. 3 Satz 3 geschützt. Er darf also dadurch, dass er seinen gesetzlichen Auftrag erfüllt, gegenüber anderen Mitarbeitern nicht benachteiligt werden.
446
Giesen, CR 2007, 202 ff.
447
Simitis in Simitis, BDSG, § 4f, Rn. 1 ff.
172
12 Grundzüge des Datenschutzes
Das Benachteiligungsverbot ergänzt die Weisungsfreiheit und stärkt die Unabhängigkeit des Datenschutzbeauftragten.448
12.6.4 Qualifikation Ein fester Ausbildungsweg zum Datenschutzbeauftragten existiert nicht. Das Gesetz verlangt aber vom Datenschutzbeauftragten die erforderliche Zuverlässigkeit und Fachkunde. Die Fachkunde untergliedert sich wiederum in drei Aspekte. Der Datenschutzbeauftragte muss in der Lage sein, die Gesetze auszulegen und anzuwenden, er muss technische Kenntnisse auf dem Gebiet der Informationstechnologie besitzen und er muss die betrieblichen Abläufe einer Bank kennen. Der Datenschutzbeauftragte besitzt ggf. nicht all diese Qualifikationen schon zum Zeitpunkt seiner Bestellung. Er muss diese Qualifikationen aber in einem absehbaren Zeitraum erwerben. Seine eigenen Qualifikationen können auch durch die Qualifikation seiner Mitarbeiter ergänzt und komplettiert werden.449 Neben der grundlegenden Qualifikation erfordern neue technische, rechtliche oder organisatorische Entwicklungen eine adäquate Weiterbildung. Die Zuverlässigkeit zielt sowohl auf die persönliche Integrität des Datenschutzbeauftragten als auch auf die Vermeidung von Interessenkollisionen. Interessenkollisionen ergeben sich vor allem dann, wenn der Datenschutzbeauftragte insbesondere in kleinen Unternehmen noch weitere Aufgaben zu erfüllen hat.450 Als unvereinbar mit der Aufgabe des Datenschutzbeauftragten gelten z. B. die Stellung des IT-Leiters oder des Vertriebsleiters. Bei der Kombination mit anderen Aufgaben ist im Einzelfall abzuwägen, ob die gesetzlichen Aufgaben des Datenschutzbeauftragten erfüllt werden. Eine Alternative kann in einer solchen Konstellation auch die Bestellung eines externen Datenschutzbeauftragten sein. Als Teil des zweigliedrigen Datenschutzaufsichtssystems ist die Stellung des Datenschutzbeauftragten konfliktträchtig. Diese Situation stellt besondere Anforderungen an die Konfliktfähigkeit des Datenschutzbeauftragten.451 Darüber hinaus muss der Datenschutzbeauftragte besondere didaktische Fähigkeiten vorweisen, da er die Aufgabe hat, die Mitarbeiter des Unternehmens in Datenschutzbelangen zu schulen. Die Anforderungen, die an den Datenschutzbeauftragten in fachlicher und persönlicher Hinsicht gestellt werden, sind also anspruchsvoll. Die Rekrutierung von Datenschutzbeauftragten erfolgt in der Praxis überwiegend aus den Reihen des eigenen Unternehmens. Daher sind die Fortbildungsmöglichkeiten im Datenschutz sind sehr vielfältig, wobei eine zunehmende Tendenz nach Ausbildungsformen mit formalen Anforderungen und zertifizierten Prüfungs448
Simitis in Simitis, BDSG, § 4f, Rn. 130.
449
Simitis in Simitis, BDSG, § 4f, Rn. 86.
450
Simitis in Simitis, BDSG, § 4f, Rn. 99 ff.
451
Simitis in Simitis, BDSG, § 4f, Rn. 96.
12.6 Der Datenschutzbeauftragte
173
abschlüssen festgestellt werden kann.452 Insgesamt hat im Laufe der vergangenen Jahre eine spürbare Professionalisierung der Datenschutzbeauftragten und ihrer Mitarbeiter stattgefunden.
12.6.5 Der externe Datenschutzbeauftragte Neben dem internen existiert auch die Form des externen Datenschutzbeauftragten (§ 4f Abs. 2 Satz 2). Vor allem in Unternehmen, in denen kein Vollzeit-Datenschutzbeauftragter bestellt werden kann, sondern die Position mit anderen Aufgaben verknüpft werden müsste, bietet sich die Bestellung eines externen Datenschutzbeauftragten an, um mögliche Interessenkollisionen zu vermeiden. Der externe Datenschutzbeauftragte wird i.d.R. ein Interesse haben, bei mehreren Unternehmen als Datenschutzbeauftragter bestellt zu werden, um selbst eine ausreichende wirtschaftliche Grundlage zu haben und damit Synergieeffekte zu erzielen. Eine zusätzliche Interessenkollision kann beim externen Datenschutzbeauftragten entstehen, wenn er mehrere Kreditinstitute als Kunden hat, die am Markt unmittelbar in Konkurrenz zueinander stehen.453
12.6.6 Das Anrufungsrecht des Betroffenen Der Betroffene kann sich jederzeit gem. § 4f Abs. 5 Satz 2 unmittelbar an den Datenschutzbeauftragten wenden. Der Betroffene muss dabei keine Form beachten. In der Praxis ist auf den Internetseiten der Kreditinstitute die E-Mail-Adresse des betrieblichen Datenschutzbeauftragten angegeben. Der Datenschutzbeauftragte ist darüber hinaus gem. § 4f Abs. 4 zur Verschwiegenheit hinsichtlich der Identität des Betroffenen verpflichtet. Die Verschwiegenheitsverpflichtung umfasst auch alle Umstände, die Rückschlüsse auf die Identität des Betroffenen ermöglichen.
12.6.7 Das Recht des DSB, sich an die Aufsichtsbehörde zu wenden Mit dem Bürokratieabbaugesetz vom 26.08.2006 ist der Schwellenwert, ab welcher Mitarbeiterzahl ein Datenschutzbeauftragter ernannt werden muss, heraufgesetzt worden. Diese Regelung ist kaum relevant für Banken. Darüber hinaus hat der Gesetzgeber mit Einfügung des § 4g Abs. 1 Satz 3 klargestellt, dass der Datenschutzbeauftragte das Recht hat, sich zur Beratung in Datenschutzfragen an die Aufsichtsbehörde zu wenden. Dieses Recht korrespondiert mit der Beratungspflicht der Aufsichtsbehörde gem. § 38 Abs. 1 Satz 2.454 452
Kongehl, DuD 2007, 330; Jaspers/Reif, DuD 2007, 333.
453
Simitis in Simitis, BDSG, § 4f, Rn. 47.
454
Gola/Klug, NJW 2007, 118 (119).
174
12 Grundzüge des Datenschutzes
Wendet sich der Datenschutzbeauftragte an die Aufsichtsbehörde, besteht allerdings die Gefahr, dass die Aufsichtsbehörde behördliche Anordnungen trifft. Dies kann z. B. der Fall sein, wenn die Aufsichtsbehörde Kenntnis von Datenverarbeitungen erlangt, die nach Ansicht der Behörde rechtswidrig sind. Insofern kann es für den Datenschutzbeauftragten ratsam sein, vor Einschaltung der Aufsichtsbehörde die Geschäftsleitung zu informieren und auf diese Möglichkeit hinzuweisen.455
12.6.8 Die Haftung des Datenschutzbeauftragten Im Hinblick auf die Haftung des Datenschutzbeauftragten sind die Eigenarten seiner Funktion und Rechtsstellung zu beachten. Vertragliche Ansprüche des Kunden gegen den Datenschutzbeauftragten scheiden aus, da kein Vertrag des Kunden unmittelbar mit dem Datenschutzbeauftragten besteht, sondern nur mit der Bank. In Bezug auf einen deliktischen Schadensersatzanspruch gem. § 823 BGB ist zu beachten, dass die Geschäftsleitung die Verantwortung für die Einhaltung der Datenschutzbestimmungen trägt und nicht der Datenschutzbeauftragte. Insoweit ist es unwahrscheinlich, dass eine Handlung oder ein Unterlassen des Datenschutzbeauftragten unmittelbar einen Schaden beim Betroffenen verursacht. Eine Haftung kommt daher praktisch nur bei der Verletzung der Verschwiegenheitspflicht des Datenschutzbeauftragten in Betracht.456 Gegenüber der Bank haftet der interne Datenschutzbeauftragte allenfalls für grob fahrlässig oder vorsätzlich verursachte Schäden, da hier neben den Eigenarten der Aufgabenstellung des Datenschutzbeauftragten auch die Grundsätze der Arbeitnehmerhaftung zu beachten sind.457 In der Praxis wird der Datenschutzbeauftragte gleichwohl eine entsprechende Versicherung abschließen.
12.6.9 Der Datenschutzbeauftragte und die Einhaltung des Bankgeheimnisses Der Datenschutzbeauftragte in einem Kreditinstitut hat keinen gesetzlichen Auftrag, die Einhaltung des Bankgeheimnisses zu kontrollieren, da das Bankgeheimnis eine vertragliche Verschwiegenheitspflicht ist und nicht von der staatlichen Datenschutzaufsicht kontrolliert wird. Das Kreditinstitut hat jedoch ein hohes Eigeninteresse daran, dass das Bankgeheimnis durch den Datenschutzbeauftragten intern systematisch kontrolliert wird und nicht nur eine sporadische Betrachtung erfährt. Dafür sprechen die Haftungsrisiken gegenüber dem Kunden und die Risiken für die öffentliche Reputation des Kreditinstitutes im Falle eines Verstoßes gegen das Bankgeheimnis. Daher ist es 455
Gola/Klug, NJW 2007, 118 (119).
456
Simitis in Simitis, BDSG, § 4g, Rn. 103 ff.
457
Simitis in Simitis, BDSG, § 4g, Rn. 98 ff.
12.7 Die Aufsichtsbehörde für den Datenschutz
175
sinnvoll, dass der Datenschutzbeauftragte neben dem Datenschutz die Überwachung der Einhaltung des Bankgeheimnisses als zweite Säule seiner Tätigkeit in der Bank übernimmt. Für diesen Ansatz spricht auch die Tendenz, dass mit der hohen Durchdringung der Geschäftsprozesse durch die Informationstechnologie das Bankgeheimnis einen Bedeutungswandel erfährt und damit inhaltlich enger an den Datenschutz heranrückt. Bankintern ist auch eine Arbeitsteilung zwischen dem Datenschutzbeauftragten und der Rechtsabteilung möglich. Der Datenschutzbeauftragte kann z. B. die Einhaltung des Bankgeheimnisses eher dort überwachen, wo das Bankgeheimnis einen Bezug zu der Organisation der IT-Systeme aufweist. Die Rechtsabteilung kann ihren Arbeitsschwerpunkt bevorzugt dort setzen, wo das Bankgeheimnis tiefer in die Fragestellungen des Bank-, Prozess- oder Steuerrecht hineinreicht. Die entscheidende Konsequenz für die Praxis des Datenschutzes in der Bank ist, dass der Datenschutzbeauftragte mit Datenschutz und Bankgeheimnis immer beide Aspekte in Betracht ziehen und prüfen muss, um zu einer adäquaten Einschätzung der Rechtslage zu gelangen.
12.7 Die Aufsichtsbehörde für den Datenschutz Die Aufsichtsbehörde für den Datenschutz ist die externe staatliche Kontrollinstanz, die gem. § 38 kontrolliert, ob die Privatwirtschaft die Vorschriften des Datenschutzes einhält.458
12.7.1 Die Gesetzliche Aufgabe Die Aufsichtsbehörde kontrolliert gem. § 38 Abs. 1 Satz 1 die Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz. Darunter fällt insbesondere auch das TMG. Das Bankgeheimnis fällt nicht unter den Begriff andere Vorschriften über den Datenschutz, da die Grundlage des Bankgeheimnisses vertraglicher und nicht gesetzlicher Art ist. Die Aufsichtsbehörde ist bei der Kontrolle der verantwortlichen Stellen frei, Hinweisen auf Datenschutzverstöße nachzugehen oder anlassunabhängig Prüfungen durchzuführen. Die Regel ist allerdings das Tätigwerden auf einen bestimmten Anlass hin.459 Sie veröffentlicht i.d.R. jährlich einen Tätigkeitsbericht gem. § 38 Abs. 1 Satz 6, der einen Überblick über die Arbeit der Aufsichtsbehörde und über neue rechtliche Entwicklungen gibt.
458
Gola/Schomerus, BDSG, § 38 Rn. 1 f.
459
Simitis in Simitis, BDSG, § 38, Rn. 9.
176
12 Grundzüge des Datenschutzes
12.7.2 Die behördliche Organisation Die Aufsichtsbehörden für den Datenschutz sind Landesbehörden.460 Ihre Organisation ist nicht einheitlich. Zum Teil sind die Aufsichtsbehörden in die Landesverwaltung eingegliedert461, teilweise sind sie dem Landesdatenschutzbeauftragten unterstellt. Soweit die Aufsichtsbehörden in die Landesverwaltung eingegliedert sind, wird bezweifelt, ob sie die nach der EU-Datenschutzrichtlinie erforderliche Unabhängigkeit besitzen. Diesbezüglich hat die EU-Kommission eine Klage gegen die Bundesrepublik Deutschland vor dem Europäischen Gerichtshof eingereicht.462 Die verschiedenen Aufsichtsbehörden der Länder, die für die Privatwirtschaft zuständig sind, stimmen sich im sog. Düsseldorfer Kreis ab.463
12.7.3 Kontroll- und Prüfrechte Die Datenschutzaufsichtsbehörde hat gem. § 38 Abs. 3 Satz 1 das Recht, von der verantwortlichen Stelle und deren Geschäftsleitung unverzüglich Auskunft zu erhalten. Ein Auskunftsrechts besteht ausnahmsweise dann nicht, wenn die Auskunft den Auskunftspflichtige selbst oder einen seiner Angehörigen sich der Gefahr strafgerichtlicher Verfolgung oder eines Ordnungswidrigkeitsverfahrens aussetzen würde (§ 38 Abs. 3 Satz 2). Dies entspricht dem allgemeinen Rechtsgrundsatz, dass sich niemand selbst belasten muss.464 Auf diese Möglichkeit der Auskunftsverweigerung ist der Auskunftspflichtige von der Aufsichtsbehörde hinzuweisen (§ 38 Abs. 3 Satz 3). Die Datenschutzaufsichtsbehörde hat darüber hinaus ein Prüfrecht gem. § 38 Abs. 4 Satz 1: sie kann bei der verantwortlichen Stelle Prüfungen durchführen und sich von der Einhaltung der Datenschutzgesetze vor Ort überzeugen. Das Prüfrecht wird durch ein Zutritts- und Besichtigungsrecht ergänzt. Bei der Durchführung von Prüfungen ist der Grundsatz der Verhältnismäßigkeit zu wahren.465 Daraus leitet sich u.a. ab, dass die Aufsichtsbehörde ihre Prüfungen rechtzeitig vorher ankündigt, es sei denn, der Prüfzweck würde durch die Ankündigung vereitelt. Anlässlich einer Prüfung hat die Aufsichtsbehörde das Recht gem. § 4g Abs. 2 Satz 1, Einsicht in geschäftliche Unterlagen, in die Übersicht der zugriffsberechtigten Personen, in die gespeicherten personenbezogenen Daten und in die vorhandenen IT-Systeme zu nehmen. Die verantwortliche Stelle dagegen muss die Maßnahmen der Aufsicht gem. § 38 Abs. 4 Satz 4 entsprechend dulden. 460
Schaffland/Wiltfang, BDSG, § 38 Rn. 1.
461
Z.B. die für den Bereich der Kreditwirtschaft wichtige Aufsichtsbehörde für den Datenschutz in Hessen ist Teil des Regierungspräsidiums Darmstadt: http://www.rp-darmstadt.hessen.de.
462
FAZ vom 03.08.2007, S. 4.
463
Stellungnahmen des Düsseldorfer Kreises unter: www.BfDI.Bund.de.
464
Gola/Schomerus, BDSG, § 38 Rn. 20 f.
465
Schaffland/Wiltfang, BDSG, § 38 Rn. 22.
12.7 Die Aufsichtsbehörde für den Datenschutz
177
12.7.4 Anordnungs- und Untersagungsrechte Die Aufsichtsbehörde kann gem. § 38 Abs. 5 Satz 1 Anordnungen treffen, die die verantwortliche Stelle zu erfüllen hat. Voraussetzung dafür ist, dass ein Verstoß gegen § 9 vorliegt. Als weiteren Eskalationsschritt kann die Aufsichtsbehörde gem. § 38 Abs. 5, Satz 2 bestimmte Verfahren untersagen, soweit ein Verstoß gegen § 9 schwerwiegende Mängel zur Folge hat. Die Untersagung setzt weiter die vorhergehende wirkungslose Verhängung eines Zwangsgeldes und den fruchtlosen Ablauf einer Frist, in der die verantwortliche Stelle die Abhilfe des Mangels unterlassen hat, voraus. Für diese Maßnahmen gelten die Vorschriften zum Verwaltungsakt und zum Verwaltungsvollstreckungsrecht.466 In der Praxis wird von diesen weit reichenden Befugnissen nur selten Gebrauch gemacht. Die Aufsichtsbehörde kann darüber hinaus gem. § 38 Abs. 5 Satz 3 die Abberufung des betrieblichen Datenschutzbeauftragten verlangen, soweit dieser die erforderliche Zuverlässigkeit und Fachkunde nicht besitzt.
12.7.5 Bußgeld Die Datenschutzaufsichtsbehörde kann gem. § 43 BDSG ein Bußgeld verhängen. Ein Bußgeld bis zu 25.000 € kann gem. § 43 Abs. 1 verhängt werden, insbesondere wenn vorsätzlich oder fahrlässig x Nr. 1 die Meldepflicht gem. § 4d Abs. 1 verletzt wurde, x Nr. 2 eine Bestellung eines betrieblichen Datenschutzbeauftragten nicht oder nicht rechtzeitig erfolgt ist, x Nr. 3 ein Werbewiderspruchshinweis unterblieben ist, x Nr. 8 der Betroffene nicht oder nicht rechtzeitig benachrichtigt wurde, x Nr. 10 eine Auskunft gegenüber der Aufsichtsbehörde nicht oder fehlerhaft erteilt wurde bzw. eine Maßnahme der Aufsichtsbehörde nicht geduldet wurde, x Nr. 11 einer vollziehbaren Anordnung der Datenschutzaufsichtsbehörde zuwider gehandelt wurde. Ein Bußgeld bis zu einer Höhe von 250.000 € kann gem. § 43 Abs. 2 von der Aufsichtsbehörde verhängt werden, insbesondere wenn gem. Nr. 1 vorsätzlich oder fahrlässig unbefugt personenbezogene Daten erhoben oder verarbeitet wurden. Die Höhe der Bußgelder ergibt sich aus § 43 Abs. 3.
466
Simitis in Simitis, BDSG, § 38, Rn. 64.
178
12 Grundzüge des Datenschutzes
Während § 43 Abs. 1 formale Verstöße gegen das BDSG sanktioniert, werden gem. § 43 Abs. 2 inhaltliche Verstöße gegen das BDSG als Ordnungswidrigkeit geahndet. Problematisch sind dabei in Bezug auf den zweiten Absatz insbesondere Verstöße gegen Datenschutzbestimmungen, die auf Abwägungsentscheidungen wie z. B. gem. § 28 Abs. 1 Nr. 2 beruhen. In dieser Hinsicht ist fraglich, ob der Bestimmtheitsgrundsatz gewahrt wird.467 Die tatsächliche Verhängung von Bußgeldern wird durch die Aufsichtsbehörden restriktiv gehandhabt.468
12.7.6 Die Datenschutzaufsichtsbehörde und das Bankgeheimnis Die Datenschutzaufsichtsbehörde ist nicht zuständig dafür, die Einhaltung des Bankgeheimnisses zu überwachen. Da das Bankgeheimnis eine vertragliche Verschwiegenheitspflicht der Bank gegenüber ihren Kunden ist, ist der Kunde – wie auch sonst im Zivilrecht – selbst dafür verantwortlich, die Einhaltung der vertraglichen Pflichten gegenüber der Bank durchzusetzen. Das Bankgeheimnis kann gleichwohl Auswirkungen auf die Kontrolle der Datenschutzaufsichtsbehörden haben. Denn in die Interessenabwägung gem. § 28 BDSG kann die vertragliche Verschwiegenheitspflicht der Bank einfließen und zu einem anderem Abwägungsergebnis führen. Insofern kann das Bankgeheimnis mittelbaren Einfluss auch auf Entscheidungen der Aufsichtsbehörden haben.469
12.8 Das Verfahrensverzeichnis für jedermann Vor der grundlegenden Neugestaltung des BDSG im Jahr 2001 hatte der Datenschutzbeauftragte ein Dateiregister zu erstellen. Angesichts der ausgedehnten ITLandschaft innerhalb der Kreditwirtschaft war das Dateiregister ausgesprochen umfangreich und nicht besonders aussagekräftig. Durch die Neuregelung des BDSG wurde der Begriff des Verfahrens eingeführt, der an dieser Stelle einen spezifischen Bedeutungsgehalt besitzt. Das Verfahren stellt eine Zusammenfassung von mehreren, inhaltlich zusammengehörigen Verarbeitungsarten dar. Dabei besteht die Schwierigkeit, das rechte Maß an Abstraktion zu finden.470 Ein Beispiel für ein solches Verfahren im Kreditgewerbe ist die Kontoführung. Die verantwortliche Stelle muss das öffentliche Verfahrensverzeichnis erstellen und dem Datenschutzbeauftragten zur Verfügung stellen (§ 4g Abs. 2 Satz 2 i.V.m. § 4e). Dabei muss das eigentliche Verfahren benannt werden. Darüber hinaus sind die Angaben zu machen, die gem. § 4e Inhalt der Meldung der verantwortlichen 467
Ehmann in Simitis, BDSG § 43 Rn. 21 ff.
468
Ehmann in Simitis, BDSG § 43 Rn. 86 ff.
469
Vgl. dazu unten Kapitel 13.3.3.
470
Petri, RDV 2003, 267 (269).
12.9 Werbung
179
Stelle an die Aufsichtbehörde für den Fall sind, dass die verantwortliche Stelle ausnahmsweise keinen Datenschutzbeauftragten ernennen muss. Diese Angaben umfassen – neben den Angaben über die verantwortliche Stelle – insbesondere den Zweck der Verarbeitung, die betroffenen Personengruppen inkl. der jeweiligen Daten (oder Datenkategorien), die Empfänger (oder Empfängerkategorien), die Löschfristen und eine geplante Übermittlung in Nicht-EU-Staaten (§ 4e Nr. 1 bis Nr. 9). Da das Verzeichnis ein Verzeichnis „für jedermann” darstellt, hat nicht nur der Kunde, sondern jeder einen Anspruch, das Verfahrensverzeichnis zu erhalten, unabhängig davon, in welchem Verhältnis der Anspruchsteller zu der jeweiligen Bank steht. Die Erstellung des Verfahrensverzeichnisses ist gem. § 43 Abs. 1 Nr. 1 bußgeldbewehrt. In der Praxis veröffentlichen einige Banken das Verfahrensverzeichnis auf ihrer Homepage im Internet. Andere Institute geben das Verzeichnis nur auf Anfrage heraus. Darüber hinaus hat die verantwortliche Stelle dem Datenschutzbeauftragten gem. § 4g Abs. 2 Satz 1 ein sog. internes Verfahrensverzeichnis zur Verfügung zu stellen, das inhaltlich auch den Umfang des § 4e umfasst.471 In der Praxis bedienen sich die verschiedenen Unternehmensbereiche und Abteilungen allerdings der Hilfe des Datenschutzbeauftragten bereits bei der Erstellung der Verzeichnisse. Zudem hat die Bank dem Datenschutzbeauftragten gem. § 4g Abs. 2 eine Übersicht über die zugriffsberechtigten Personen zur Verfügung zu stellen. Diese Pflicht wird in der Praxis nicht durch die Erstellung von Mitarbeiterlisten erfüllt. Diese Listen wären zu umfangreich und auch zu unübersichtlich. Sinnvoll ist an dieser Stelle, dem Datenschutzbeauftragten Zugriff auf die verschiedenen Berechtigungskonzepte der jeweiligen IT-Systeme einzuräumen. Mit Hilfe dieses Zugriffs kann sich der Datenschutzbeauftragte einen Überblick über das Berechtigungswesen der Bank verschaffen.
12.9 Werbung Hinsichtlich der Werbung sind zwei unterschiedliche Fragestellungen zu beachten. Einerseits, ob die Werbung generell zulässig ist und andererseits, unter welchen Bedingungen der Kommunikationsweg, den der Werbende nutzt, für die Zustellung einer Werbung genutzt werden darf. Für die Werbung gilt, dass zunächst die Werbung grundsätzlich zulässig ist. Will der Beworbene keine Werbung mehr erhalten, hat er die Möglichkeit, einen Werbewiderspruch gem. § 28 Abs. 4 Satz 1 bei der verantwortlichen Stelle einzulegen. Der Betroffene muss dabei selbst aktiv werden, um eine weitere Werbung zu verhindern. Man spricht in diesem Zusammenhang von einem „Opt Out“. Auf 471
Bergmann/Möhrle/Herb, Datenschutzrecht, § 4g Rn. 42.
180
12 Grundzüge des Datenschutzes
die Möglichkeit, einen Werbewiderspruch einzulegen, muss der Werbende den Beworbenen im Werbeanschreiben gem. § 28 Abs. 4 Satz 2 gesondert hinweisen.472 Die Werbewirtschaft, die Direktmarketing betreibt473, stellt den Betroffenen im Wege der freiwilligen Selbstverpflichtung eine sog. Robinsonliste zur Verfügung.474 Trägt sich der Betroffene mit seiner Adresse in diese Liste ein, wird er von seriösen Anbietern nicht mehr beworben. Daneben sind die Banken von der Aufsichtsbehörde verpflichtet worden, selbst eine interne Werbewiderspruchsdatei zu etablieren. In dieser Datei werden die Nichtkunden gespeichert, die einen Werbewiderspruch gegenüber dieser bestimmten Bank eingelegt haben. Sofern ein Kunde einen Werbewiderspruch geäußert hat, wird dies in den Kundensystemen entsprechend nachgehalten. Vor einer geplanten Werbeaktion werden die Betroffenen, die einen Werbewiderspruch eingelegt haben, aus den Adresslisten ausgesondert und dadurch von der Werbeaktion ausgenommen. Neben der Frage, ob grundsätzlich eine Werbung zulässig ist, sind darüber hinaus Restriktionen bezüglich bestimmter Kommunikationswege zu beachten, die für eine Werbeaktion genutzt werden dürfen. Sowohl die Werbung mittels Telefon als auch die Werbung durch E-Mail oder sms werden wegen der Besonderheit dieser Kommunikationswege zusätzlich geschützt. Um einen dieser Kommunikationswege nutzen zu können, muss der Werbende sicherstellen, dass der Betroffene vorher in die Nutzung dieses Kommunikationsweges eingewilligt hat. Bei Werbung durch Telefonanrufe spricht man vom „Cold Calling“, das für die Werbetreibenden verboten ist. Die Restriktionen hinsichtlich bestimmter Kommunikationswege sind in § 7 Abs. 2 Nr. 2 und 3 UWG (Gesetz gegen den unlauteren Wettbewerb) gesetzlich geregelt. Das UWG ist hier einschlägig, da diese Werbeformen ohne Einwilligung zugleich eine unzulässige Wettbewerbshandlung des werbenden Unternehmens darstellen. Die Einwilligung in die Nutzung eines bestimmten Kommunikationsweges bei einer Werbung unterscheidet sich allerdings von einer Einwilligung gem. § 4a BDSG, da keine Schriftform erforderlich ist. Die Beweislast für das Vorliegen der vorherigen Einwilligung trägt allerdings der Werbende.475 Die Bundesregierung hat angekündigt, schärfere Maßnahmen gegen unerwünschte Telefonwerbung im Wege einer Gesetzesinitiative zu veranlassen. Geplant ist u. a., dass bei Verstößen gegen das Verbot von Cold Calling ein Bußgeld bis zur Höhe von 50.000,- € verhängt werden kann und dass die Unterdrückung der Rufnummer bei Werbeanrufen verboten wird.476 472 473 474 475
476
Bergmann/Möhrle/Herb, Datenschutzrecht, § 28 Rn. 302 ff. Deutscher Direktmarketing Verband e.V. Vgl. http://www.direktmarketing-info.de/mailing/tipps_01.html. Köhler/Bornkamm, Wettbewerbsrecht, UWG § 7 Rn. 43 f.; zur Einwilligung in Direktwerbung im Rahmen von AGB vgl. Schmitz/Eckhardt, CR 2006, 533 (534 ff.). Vgl. die entsprechende Pressemitteilung des Bundesjustizministerin vom 12.09.2007 unter www.BMJ.Bund.de.
12.10 Customer Relationship Management (CRM)
181
12.10 Customer Relationship Management (CRM) Mit Customer Relationship Management (CRM) werden IT-Systeme bezeichnet, die zum Zweck der Kundenbindung und bedarfsgerechten Angebotssteuerung von Produkten eingesetzt werden. Da die Einholung der Einwilligung der Kunden i.d.R. für solche Systeme nicht praktikabel ist, konzentriert sich die Diskussion um die datenschutzrechtliche Rechtfertigung auf § 28 Abs. 1 Satz 1 Nr. 1 (zur Erfüllung eines Vertrages mit dem Kunden) und Satz 2 (im überwiegenden Interesse der verantwortlichen Stelle).477 Bei der Interessenabwägung steht auf der Seite der verantwortlichen Stelle das Interesse an der Auswertung von Kundendaten zur Effektivitätsverbesserung, zur bedarfsgerechten Produktsteuerung und zum Zweck der Werbung. Als wesentliche Elemente marktwirtschaftlichen Handelns sind dies legitime Zwecke i.S.d. BDSG. Auf Seiten des Betroffenen steht als Gegeninteresse der Schutz vor Durchleuchtung, dauerhafter Beobachtung oder Prognostizierung seines Verhaltens.478 Vor diesem rechtlichen Hintergrund ist eine Abwägungsentscheidung anhand der konkreten Ausgestaltung des CRM-Systems zu treffen. Von vornherein ausgeschlossen für eine Verarbeitung in einem CRM-System sind die besonderen Arten von personenbezogenen Daten gem. § 3 Abs. 9. Für Banken ist darüber hinaus die Einbeziehung der Zahlungsverkehrszwecke in ein CRM-System grundsätzlich nicht zulässig. Dies leitet sich aus dem Verbot der Auswertung der Zahlungsverkehrszwecke für Banken ab.479 Soweit Nutzungsdaten im Internet in ein CRM einbezogen werden sollen, sind darüber hinaus die Bestimmungen des TMG zu beachten.480
12.11 Datensicherheit Datenschutz und IT-Sicherheit verfolgen unterschiedliche Grundansätze.481 Während der Datenschutz auf Konformität mit den bestehenden Datenschutzgesetzen abzielt, geht die IT-Sicherheit von einer Bedrohungsanalyse aus, um daraus die notwendigen Schutzmaßnahmen abzuleiten. Die IT-Sicherheit hat nicht nur personenbezogene Daten, sondern alle schützenswerten Daten eines Unternehmens im Blick. Andererseits kann der Datenschutz nur wirksam umgesetzt werden, wenn die notwendigen Maßnahmen auch technisch abgesichert werden. In dieser Hinsicht 477
Anders dagegen Weichert, RDV 2003, 113 (120).
478
Lewinski, RDV 2003, 122 (126).
479
Vgl. dazu unten Kapitel 14.1 Das Verbot der Auswertung der Zahlungsverkehrszwecke; insofern unzutreffend: Weichert, RDV 2003, 113 (114).
480
Vgl. dazu unten Kapitel 15 Datenschutz und Internet.
481
Witt, IT-Sicherheit, Kapitel 4.1.
182
12 Grundzüge des Datenschutzes
ergibt sich eine große thematische Schnittmenge mit der IT-Sicherheit. Gesetzlich verankert sind diese Sicherheitsaspekte in § 9 und Anlage. § 9 verlangt von der verantwortlichen Stelle, sowohl technische und als auch organisatorische Maßnahmen zur IT-Sicherheit zu implementieren. Diese Maßnahmen stehen unter dem Vorbehalt der Verhältnismäßigkeit. Der finanzielle und materielle Aufwand für diese Maßnahmen ist nur insoweit zwingend, als er in einem angemessenen Verhältnis zum Schutzzweck der personenbezogenen Daten steht.482 Die Anlage zu § 9 nennt folgende Maßnahmen im Einzelnen: 1. Eine Zutrittskontrolle muss den Eintritt von Personen in Räume regeln, in denen Daten verarbeitet werden. Der Zutritt zum Rechenzentrum ist dabei restriktiver zu wählen als der Zutritt zu den Büros der Mitarbeiter. 2. Die Zugangskontrolle regelt das log-in auf die IT-Systeme generell. Diese Authentifikation erfolgt in der Praxis durch User-ID und Passwort oder mittels eines entsprechenden Mitarbeiterausweises. 3. Die Zugriffskontrolle regelt die Berechtigung des Mitarbeiters in Abhängigkeit von seiner Aufgabe in der jeweiligen Anwendung personenbezogene Daten einzusehen oder zu verändern. Durch abgestufte Berechtigungssysteme werden die Berechtigungen den Mitarbeitern gem. dem sog. „Need-to-know-Prinzip“ zugeordnet. 4. Die Weitergabekontrolle ist insbesondere relevant, wenn personenbezogene Daten an andere Stellen weitergeleitet werden. 5. Die Eingabekontrolle zielt darauf ab, dass nachvollzogen werden kann, von wem welche Daten verändert worden sind. Dieser Aspekt zielt auf die Protokollierung der Dateneingabe ab. 6. Die Auftragskontrolle ist insbesondere bei der Auftragsdatenverarbeitung relevant. Der Auftraggeber bleibt dabei für die Datenverarbeitung beim Auftragnehmer voll verantwortlich und ist verpflichtet, den Auftragnehmer entsprechend zu überprüfen. 7. Durch eine wirksame Verfügbarkeitskontrolle wird z. B. mittels einer Firewall verhindert, dass von außen auf personenbezogene Daten zugegriffen werden kann. Gleichzeitig wird durch eine Back-up-Funktion verhindert, dass bei einem Systemausfall die Daten unwiederbringlich verloren gehen können. 8. Insbesondere für Auftragsdatenverarbeiter, die ihre Dienste für mehrere Auftraggeber anbieten, ist der letzte Aspekt relevant. Die IT-Systeme sind so zu konzipieren, dass die Daten der jeweiligen Auftraggeber logisch voneinander getrennt gespeichert und verarbeitet werden können. Auf diese Weise wird die Mandantenfähigkeit der Systeme gewährleistet. 482
Bergmann/Möhrle/Herb, Datenschutzrecht, § 9 Rn. 26 ff.
12.12 Datenübertragung ins Ausland
183
In einzelnen Punkten der Anlage zu § 9 spiegeln sich unmittelbar die Schutzziele der IT-Sicherheit wieder. Die Schutzziele der IT-Sicherheit sind dabei Verfügbarkeit, Integrität, Vertraulichkeit, Zurechenbarkeit und Rechtsverbindlichkeit.483 Aufgrund der inhaltlichen Nähe von IT-Sicherheit und Datenschutz ist eine enge organisatorische Abstimmung von IT-Sicherheit von Datenschutz innerhalb der Bank von großem Vorteil.
12.12 Datenübertragung ins Ausland Die Datenübertragung ins Ausland hat unter zwei Gesichtspunkten erheblich an Bedeutung gewonnen. Zum einen ist rechtlich durch die EU-Datenschutzrichtlinie innerhalb der EU484 ein einheitliches Schutzniveau etabliert worden. Dies hat zur Konsequenz, dass personenbezogene Daten innerhalb der EU ohne Restriktionen in andere Mitgliedsstaaten übermittelt werden können. Zum anderen ist innerhalb der IT-Wirtschaft durch die technische Möglichkeit, große Datenmengen in kurzer Zeit über weite Strecken zu transportieren, die internationale Arbeitsteilung weiter fortgeschritten als in anderen Wirtschaftsbereichen, so dass die Frage der Zulässigkeit internationaler Datentransfers unmittelbare Praxisrelevanz hat. Eine Datenübertragung ins Ausland ist in folgenden Fällen zulässig485: 1. Die Daten werden innerhalb der EU verarbeitet. 2. Die Daten werden in ein Land transferiert, das nach einem Beschluss der EU-Kommission ein angemessenes Datenschutzniveau besitzt.486 3. Die Daten werden in die USA weitergegeben und die verarbeitende Stelle ist Safe-Harbor-zertifiziert.487 Dabei ist die Zertifizierung nach den Safe-Harbor-Principles eine Mischung aus freiwilliger Selbstverpflichtung und externer Kontrolle durch die FTC (Federal Trade Commission). 4. Die Daten werden in ein Land weitergeleitet, das kein angemessenes Datenschutzniveau hat; die Vertragspartner unterzeichnen aber die sog. Standardvertragsklauseln der EU-Kommission. Dabei bestehen zwei Arten von Standardvertragsklauseln: einerseits die Standardvertragsklauseln für eine
483
Witt, IT-Sicherheit, Kapitel 2.1.1.
484
Genauer innerhalb des EWR (Europäischer Wirtschaftsraum).
485
Instruktiv inkl. diverser Fallkonstellationen: Beschluss des Düsseldorfer Kreises 19./20.04.2007 in Hamburg zum Internationalen Datenverkehr; unter www.rp-darmstadt.hessen.de.
486
Einen Überblick findet man unter: http://ec.europa.eu/justice_home/fsj/privacy/thridcountries/index_de.htm.
487
Engel, Reichweite und Umfang des Datenschutzes, 143 ff.
184
12 Grundzüge des Datenschutzes
Datenübermittlung in ein nicht sicheres Drittland und andererseits die Standardvertragsklauseln für eine Auftragsdatenverarbeitung in einem nicht sicheren Drittland.488 5. Die Daten werden an ein Unternehmen weitergegeben, das sich durch eine interne Unternehmensrichtlinie (sog. Code of Conduct) selbst zur Einhaltung von Datenschutzgrundsätzen verpflichtet hat, die einen ähnlichen Schutz bieten wie die EU-Richtlinie.489 Der Code of Conduct muss dabei von den Aufsichtsbehörden genehmigt werden.490 Unabhängig von den oben genannten Voraussetzungen kommt als Ausnahme vor allem eine Datenverarbeitung im nichteuropäischen Ausland in Betracht, wenn der Betroffene eingewilligt hat (§ 4c Abs. 1 Nr. 1)491 oder wenn die Datenübermittlung für die Durchführung eines Vertrages zwischen dem Betroffenem und der (inländischen) verantwortlichen Stelle erforderlich ist (§ 4c Nr. 2). Für den Datenschutz der Banken spielt die Einwilligung hier keine besondere Rolle, weil die Einholung einer besonderen Einwilligung zur Datenverarbeitung im Ausland vom Kunden wenig praktikabel ist. Der zweite Ausnahmefall wird zum Beispiel bei Auslandsüberweisungen des Kunden in Nicht-EU-Länder relevant: hier ist eine Datenübermittlung an den Zahlungsempfänger und an dessen Bank im Ausland erforderlich, um den Überweisungsauftrag des Kunden auszuführen.492
488
Gola/Schomerus, BDSG, § 4c Rn. 8.
489
Schröder, DuD 2004, 462 (463 f.); vgl. auch: Artikel 29-Datenschutzgruppe, WP 74; unter: http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/index_de.htm.
490
Räther, DuD 2005, 461 (464); Zur Koordinierung der Aufsichtsbehörden auf EUEbene: Dix/Gardain, DuD 2006, 343 (345 f.).
491
Backes u. a., RDV 2004, 156 (159).
492
Die Datenübermittlung bei Auslandsüberweisungen ist allerdings mittlerweile gesetzlich geregelt; vgl. § 25b KWG und EU-Verordnung 2005/0138.
13 Die Zulässigkeit der Verarbeitung von Kundendaten gemäß Bankgeheimnis und Datenschutz
Eine Weitergabe von Kundeninformationen ist nach dem Bankgeheimnis nur aufgrund einer Einwilligung, einer gesetzlichen Offenbarungspflicht oder einer Bankauskunft zulässig. Auch jede Verarbeitung von personenbezogenen Daten bedarf gem. § 4 Abs. 1 BDSG einer Rechtsgrundlage durch die Einwilligung, ein Gesetzes oder aufgrund des BDSG selbst. Insgesamt kommen für die Bank also vor allem folgende rechtliche Grundlagen in Betracht: x die Einwilligung des Kunden (incl. Bankauskunft der Privatkunden), x eine Datenverarbeitung aufgrund eines Gesetzes, x eine Datenverarbeitung aufgrund einer Interessenabwägung gem. § 28 BDSG, x die Auftragsdatenverarbeitung gem. § 11 BDSG.
13.1 Die Einwilligung 13.1.1 Die Einwilligung gemäß Bankgeheimnis Das Bankgeheimnis ist eine vertragliche Nebenpflicht. Daher gelten für die Einwilligung in eine Weitergabe von Kundendaten die Vorschriften des Bürgerlichen Gesetzbuches. Danach ist die Zustimmung der Oberbegriff für die Einwilligung und die Genehmigung. Die Zustimmung ist eine einseitige, empfangsbedürftige Willenserklärung.493 Einwilligung und Genehmigung unterscheiden sich dadurch, dass die Einwilligung dem Rechtsgeschäft zeitlich vorausgeht (§ 183 Abs. 1 Satz 1 BGB) und die Genehmigung zeitlich nach dem Rechtsgeschäft erfolgt und auf das Rechtsgeschäft zurückwirkt (§ 184 Abs. 1).
493
Palandt, BGB, vor § 182 Rn. 3.
186
13 Die Zulässigkeit der Verarbeitung von Kundendaten
Die Zustimmung ist formfrei494 und kann auch mündlich erteilt werden. Zudem kann die Zustimmung konkludent durch schlüssiges Handeln erteilt werden.495 Die Zustimmung ist gem. § 183 Abs.1 Satz 1 BGB frei widerruflich, der Widerspruch entfaltet aber keinen rückwirkenden Charakter. Durch den Widerruf wird also eine mit Zustimmung des Kunden stattgefundene Weiterleitung von Kundendaten nicht im Nachhinein unzulässig. Der Widerruf entfaltet nur Wirksamkeit für die zukünftige Weitergabe von Kundendaten an Dritte. Da in Zweifelsfällen die Bank für Vorliegen der Einwilligung des Kunden nach den allgemeinen Regeln des Zivilrechtes die Darlegungs- und Beweislast trägt, kann die schriftliche Einholung der Zustimmung gemäß dem Bankgeheimnis empfehlenswert sein.
13.1.2 Die Einwilligung gem. § 4a BDSG Die Einwilligung gem. § 4a BDSG ist unmittelbare Konsequenz aus dem Recht auf informationelle Selbstbestimmung des Betroffenen.496 Mit Hilfe der Einwilligung hat er die Möglichkeit, selbst über die Preisgabe und die Verwendung seiner personenbezogenen Daten zu entscheiden. 13.1.2.1 Vorherige Zustimmung Die Einwilligung ist im BDSG in § 4a verankert. Die Einwilligung unterscheidet sich dabei nicht grundlegend von der Einwilligung im Zivilrecht, so dass auch hier § 183 BGB entsprechend anwendbar ist, der die Einwilligung als die vorherige Zustimmung definiert. Allerdings ist die Einwilligung gem. § 4a keine Willenserklärung, da sich die datenschutzrechtliche Einwilligung auf einen tatsächlichen Eingriff in das Persönlichkeitsrecht bezieht und damit keinen rechtsgeschäftlichen Charakter hat. Ausreichend ist daher für eine wirksame Einwilligung die Einsichtsfähigkeit des Einwilligenden.497 13.1.2.2 Die Freiwilligkeit Die Einwilligung gem. § 4a Abs. 1 Satz 1 setzt die freie Entscheidung des Kunden voraus.498 Die Freiwilligkeit der Einwilligung wird z. B. im Zusammenhang mit einem Arbeitsverhältnis kritisch betrachtet.499 Da zwischen Arbeitnehmer und Arbeitgeber ein Abhängigkeitsverhältnis besteht, bewerten die Datenschutzauf494
Palandt, BGB, § 182 Rn. 2.
495
Palandt, BGB, § 182 Rn. 3.
496
Gola/Schomerus, BDSG, § 4a Rn. 2 f.
497
Gola/Schomerus, BDSG, § 4a Rn. 10.
498
U.a. Iraschko-Luscher, DuD 2006, 706 (708).
499
Wedde, DuD 2004, 169 (171 f.).
13.1 Die Einwilligung
187
sichtsbehörden die Einwilligung eines Arbeitnehmers grundsätzlich als nicht freiwillig und somit unwirksam. Als unfreiwillig wird auch eine Einwilligung angesehen, die durch bestimmte geschäftliche Vorteile „erkauft“ wird. Die Einräumung einer Sonderkondition im Gegenzug zu einer Einwilligung zur Datenweiterleitung an ein verbundenes Finanzunternehmen wäre datenschutzrechtlich unwirksam. Davon zu unterscheiden ist der Fall, dass das Produktdesign oder ein besonderer Vertriebsweg eine bestimmte Form von Datenverarbeitung voraussetzt, ohne die die Bereitstellung eines Produktes nicht möglich ist. 13.1.2.3 Die Informiertheit Die Einwilligung ist nur wirksam, wenn der Privatkunde vorher gem. § 4a Abs. 1 Satz 2 auf den Zweck der Datenverarbeitung hingewiesen worden ist. Der Kunde muss also im Vorhinein wissen, welche Daten zur Vertragsabwicklung notwendig sind und in welchem Umfang diese verarbeitet werden sollen.500 Der Privatkunde ist auch darauf hinzuweisen, welche Angaben freiwillig in dem Sinne sind, dass diese Angaben für den Zweck der Datenverarbeitung (Erfüllung des Bankvertrages) nicht unbedingt erforderlich sind. So ist die Angabe der Handynummer für die Abwicklung des Vertrages zwischen Bank und Kunden nicht unbedingt erforderlich, sie erleichtert aber ggfs. die Kontaktaufnahme bei Rücksprachen. Dieser sog. Freiwilligkeitshinweis ist auch in den Formularen der Bank im Internet erforderlich: in der Praxis werden die Felder mit einem Sternchen (*) gekennzeichnet, die im Hinblick auf den Vertrag nicht unbedingt erforderlich sind. 13.1.2.4 Die Form Das BDSG schreibt die Schriftform für die Einwilligung vor (§ 4a Abs.1 Satz 3). Das heißt, die Erklärung muss vom Kunden unterzeichnet werden. Ein Verstoß gegen die Schriftform hat die Unwirksamkeit der Einwilligung zur Folge.501 In besonderen Fällen kann auf die Schriftform verzichtet werden. Ruft ein Kunde z. B. in einem Call Center der Bank an, in dem die Mitarbeiter (sog. Agents) gerade geschult werden, wobei einzelne Anrufe von einem Trainer mitgehört werden sollen, muss der Kunde vorab gefragt werden, ob er dem Mithören des Trainers zustimmt. Gibt der Kunde hier mündlich sein Einverständnis, reicht diese Form des Einverständnisses aus, auch wenn das Einverständnis ausnahmsweise nicht schriftlich erteilt wird.
500
U.a. Evers/Kiene, NJW 2003, 2726 (2727).
501
Gola/Schomerus, BDSG, § 4a Rn. 13.
188
13 Die Zulässigkeit der Verarbeitung von Kundendaten
13.1.2.5 Die Hervorhebung der Einwilligung bei Abgabe mehreren Erklärungen Soweit die Einwilligung in eine bestimmte Datenverarbeitung zusammen mit anderen Erklärungen abgegeben werden soll, ist die Einwilligung gem. § 4a Abs. 1 Satz 4 optisch besonders hervorzuheben. Die Einwilligungsklausel muss also abgehoben durch ein besonders Layout visuell gut erkennbar gestaltet sein. Ein in der Praxis häufiger Fall ist die Einbeziehung der Einwilligungsklausel in die AGB der Bank. Diese Verwendung als AGB zusammen mit anderen für eine Vielzahl von Verträgen vorformulierten Bedingungen hat zur Folge, dass die Einwilligungsklausel der AGB-Kontrolle unterliegt. Insbesondere wenn der Verbraucher mit einer solchen Klausel nicht rechnen musste oder wenn sie sonst den Verbraucher entgegen den Grundsatz von Treu und Glauben unangemessen benachteiligen, sind solche AGB gem. § 307 ff. BGB nichtig.502 13.1.2.6 Der Widerruf Die Einwilligung ist frei widerruflich. Der Widerruf ist dabei formfrei, obwohl für die Zustimmung die Schriftform vorgeschrieben ist. Er entfaltet gem. § 183 Abs. 1 Satz 1 BGB nur Wirksamkeit für die Zukunft.
13.1.3 Die Einwilligung in der Praxis des Datenschutzes Für die Praxis des Datenschutzes in der Bank ergeben sich aus o.g. Ausführungen folgende Konsequenzen. Die Regelungsinhalte von Bankgeheimnis und Datenschutz laufen hinsichtlich der Einwilligung parallel, was das Erfordernis der vorherigen Zustimmung und die Möglichkeit des formlosen, nicht rückwirkenden Widerrufs angeht. Die Regelungen des BDSG sind jedoch hinsichtlich der Form, der Freiwilligkeit, der Informiertheit und der Hervorhebung der Einwilligung enger gefasst. Wenn also sowohl nach dem Bankgeheimnis als auch nach den Vorschriften des BDSG eine Einwilligung des Kunden erforderlich ist, muss diese Einwilligung die engen Erfordernisse des BDSG erfüllen.
13.1.4 Die Bankauskunft der Privatkunden als Unterform der Einwilligung Die Bankauskunft ist ein historisch gewachsenes Rechtsinstitut des Kreditgewerbes. Die Bank erteilt eine Bankauskunft eigenen Kunden, anderen Banken oder Kunden anderer Banken. Inhaltlich enthält eine Bankauskunft nur allgemeine Angaben über die wirtschaftlichen Verhältnisse des Kunden, seine Kreditwürdigkeit und seine Zahlungsfähigkeit. Konkrete Angaben über Kontensalden, Depot-
502
U.a. Heidemann-Peuser, DuD, 2002, 389 (392 ff.).
13.1 Die Einwilligung
189
bestände, Kredite oder dergleichen werden in einer Bankauskunft nicht weitergegeben.503 Die Bankauskunft ist in den AGB-Banken explizit erwähnt.504 Bankauskünfte werden nur erteilt, wenn der Anfragende ein berechtigtes Interesse an der gewünschten Auskunft glaubhaft dargelegt hat und kein Grund zur Annahme besteht, dass ein schutzwürdiges Interesse des Kunden der Auskunftserteilung entgegensteht. Für die Bankauskunft ist die Unterscheidung zwischen Geschäftskunden und Privatkunden relevant. Über Privatkunden erteilt eine Bank nur Bankauskünfte, wenn der Privatkunde in die Weitergabe von Informationen vorher ausdrücklich eingewilligt hat. Geschäftskunden müssen dagegen explizit widersprechen, wenn sie nicht wünschen, dass eine Bankauskunft über sie erteilt wird.505 Die Bankauskunft der Privatkunden ist ein gutes Beispiel für die Konvergenz von Bankgeheimnis und Datenschutz. Denn in einem Abstimmungsprozess zwischen den Spitzeninstituten des Kreditgewerbes mit den Datenschutzaufsichtsbehörden wurde festgelegt, dass für Privatkunden auch die Anforderungen des Datenschutzes zu beachten sind.506 Dies führte insbesondere dazu, dass die Einwilligung der Privatkunden nunmehr schriftlich erfolgen muss.507 In diesem Zusammenhang kann auch eine asymmetrische datenschutzrechtliche Begründung erfolgen, nach der die Bankauskunft von eingetragenen Kaufleuten, die natürliche Personen sind, ohne eine schriftliche Einwilligung zulässig ist. Nach dem Bankgeheimnis erfolgt die Einwilligung des Kaufmanns in die Bankauskunft formfrei und konkludent, da es sich bei der Bankauskunft um einen Handelsbrauch unter Geschäftsleuten handelt. Und gem. § 28 Abs. 1 Satz 1 Nr. 2 erfolgt die Weitergabe von personenbezogenen Daten des Kaufmanns im überwiegenden Interesse der Bank.508 Mit dieser Argumentation lässt sich sowohl nach dem Bankgeheimnis als auch nach dem Datenschutz eine rechtliche Legitimation herleiten. Etwas anderes gilt allerdings für den Fall, dass der eingetragene Kaufmann der Bankauskunft widersprochen hat. Auf weitere Einzelheiten der Bankauskunft – wie z. B. die Haftungsfragen – wird an dieser Stelle nicht eingegangen.
503
Bruchner/Krepold, Bankrechts-Handbuch I, § 40 Rn. 11 f.
504
Z.B. § 2 AGB Private Banken.
505
Weber, BuB, Rn. 2/949 ff. zur vereinfachend benutzten Einteilung von Privat- und Geschäftskunden siehe oben Kapitel 9.3.1.
506
Gemeinsames Kommuniqué über das Bankauskunftsverfahren 17.10.1984 zwischen den Datenschutzaufsichtsbehörden und den Spitzenverbänden des Kreditgewerbes, vgl. BuB, Rn. 1/30.
507
Vgl. „Grundsätze für die Durchführung des Bankauskunftsverfahren zwischen Kreditinstituten“, zit. nach Weber, BuB, Rn. 2/962.
508
Weber, BuB, Rn. 2/932 und 1054 f.
190
13 Die Zulässigkeit der Verarbeitung von Kundendaten
13.2 Die Datenverarbeitung aufgrund eines Gesetzes Eine Datenverarbeitung aufgrund eines Gesetzes ist sowohl beim Bankgeheimnis, als auch beim Datenschutz vorgesehen. Die Bank darf Kundeninformationen gem. AGB-Banken weitergeben, ohne das Bankgeheimnis zu verletzten, „wenn gesetzliche Bestimmungen dies gebieten“.509 Eine Datenverarbeitung aufgrund eines Gesetzes ist auch gem. § 4 Abs. 1 des BDSG zulässig, wenn das BDSG selbst oder eine andere Rechtsvorschrift die Verarbeitung „erlaubt oder anordnet“. Im Folgenden werden insbesondere die für die Banken wichtigen Rechtsgrundlagen aufgeführt.
13.2.1 Die Bankaufsicht Aufgrund gesetzlicher Bestimmungen sind Kreditinstitute verpflichtet, der Bankaufsicht bestimmte Informationen über ihre Geschäftstätigkeit zukommen zu lassen, die auch Kundendaten betreffen können. Soweit Kundendaten gem. Bankgeheimnis und Datenschutz betroffen sind, verstößt die Bank nicht gegen dort geregelte Geheimhaltungsverpflichtungen, da diese Datenübermittlungen gesetzlich vorgeschrieben sind. 13.2.1.1 Das Bundesamt für Finanzdienstleistungsaufsicht Das Bundesamt für Finanzdienstleistungsaufsicht (BaFin) kann von der Bank gem. § 44 KWG Auskünfte über alle Geschäftsangelegenheiten und die Vorlegung von Büchern verlangen. Dabei hat die BaFin den Grundsatz der Verhältnismäßigkeit zu wahren.510 Zudem sind der BaFin Organkredite gem. § 15 KWG anzuzeigen. Auch der Jahresabschluss, Lagebericht und Prüfungsbericht ist gem. § 26 Abs. 1 KWG bei der BaFin einzureichen. 13.2.1.2 Die Deutsche Bundesbank Daneben hat die Deutsche Bundesbank die gleichen Rechte wie das BaFin gem. § 44 Abs. 1, soweit der Bundesbank Aufsichtsrechte nach dem KWG übertragen sind. Relevant sind insbesondere die Meldung von Groß- und Millionenkrediten gem. §§ 13, 13a-d 14 KWG.511
509
Vgl. § 2 AGB private Banken.
510
Bruchner/Krepold, Bankrechts-Handbuch I, § 39 Rn. 293.
511
Bruchner/Krepold, Bankrechts-Handbuch I, § 39 Rn. 295.
13.2 Die Datenverarbeitung aufgrund eines Gesetzes
191
13.2.1.3 Wirtschaftprüfer und Verbandsrevisoren Der Jahresabschluss eines Kreditinstitutes ist gem. § 26 KWG von Wirtschaftsprüfern zu prüfen. Die Prüfung umfasst auch die Einsicht in Kundendaten, soweit dies aufgrund des § 26 KWG erforderlich ist. Nehmen Banken an dem Einlagensicherungsfonds des Bundesverbandes deutscher Banken teil, werden diese vom Prüfungsverband deutscher Banken geprüft. Die Einsichtnahme in Kundendaten stützt sich auf Nr. 20 Satz 5 der AGB privater Banken.512
13.2.2 Gesellschaftsinterne Meldepflichten gem. Gesellschaftsrecht und KWG Gesellschaftsinterne Meldepflichten bestehen gegenüber dem Aufsichtsrat und der Konzernobergesellschaft. Diese Informationspflichten können auch Kundendaten umfassen.513 Der Aufsichtsrat einer Aktiengesellschaft hat gem. § 111 Abs. 2 AktG das Prüfrecht hinsichtlich der Bücher und sonstiger geschäftsrelevanter Dokumente der Gesellschaft. Darüber hinaus haben Kreditinstitute gem. § 10 i.V.m. § 10a KWG Meldepflichten innerhalb eines Konzern gegenüber der Konzernobergesellschaft.
13.2.3 Legitimationsprüfung und Geldwäschebekämpfung Bankkunden dürfen gem. § 154 Abs. 1 AO Konten grundsätzlich nur auf eigenen Namen und für eigene Rechnung führen. Die Banken haben dabei die Pflicht, die Kunden bei Kontoeröffnung und bei Entgegennahme und Verwahrung von Wertgegenständen gem. § 154 Abs. 2 AO i.V.m. § 2 GWG zu identifizieren. Die Legitimation von natürlichen Personen erfolgt dabei durch Personalausweis oder Reisepass.514 Die dazu erforderliche Datenerhebung und -verarbeitung erfolgt aufgrund eines Gesetzes und ist damit gem. Bankgeheimnis und Datenschutz hinreichend legitimiert. Sobald die Bank Tatsachen feststellt, dass eine Finanztransaktion der Geldwäsche dient, hat die Bank darüber hinaus gem. § 11 GWG den zuständigen Strafverfolgungsbehörden eine Verdachtsanzeige zu erstatten.515
512
Weber, BuB Rn. 2/918.
513
Weber, BuB Rn. 2/921 f.
514
Weber, BuB Rn. 2/39.
515
Kritisch dazu Köndgen, NJW 2004, 1288 (1290).
192
13 Die Zulässigkeit der Verarbeitung von Kundendaten
13.2.4 Aufzeichnungspflichten gemäß Wertpapierhandelsgesetz Ein Beispiel einer Datenverarbeitung aufgrund eines Gesetzes aus einem anderen Geschäftsbereich der Banken ist die Aufzeichnungspflicht gem. § 34 Abs. 1 Wertpapierhandelsgesetz (WphG). Danach hat eine Bank, soweit sie Wertpapiere verkauft, bestimmte Informationen aus dem Beratungsgespräch mit dem Kunden festzuhalten. Diese Informationen umfassen insbesondere: x den Namen des Kunden, x den Auftrag und die Anweisungen des Kunden, x den Namen des Bankmitarbeiters, der den Auftrag entgegengenommen hat, x die Uhrzeit der Erteilung und Ausführung des Auftrages x die in Rechnung gestellten Provisionen und Spesen. Die Aufzeichnungspflicht umfasst dabei auch die Anlageziele und die Risikobereitschaft des Kunden.516 Für diese Angaben besteht gem. § 34 Abs. 3 zudem eine besondere Aufbewahrungspflicht von 6 Jahren.
13.2.5 Die Kontoabrufverfahren des BaFin und der Finanz- und Sozialbehörden Hinsichtlich des Kontoabrufverfahrens der BaFin gem. § 24c KWG und des Kontoabrufverfahrens der Finanz- und Sozialbehörden gem. § 93 Abs. 7 und 8 § 93b AO i.V.m. 24c KWG vergleiche unten Kapitel 16.4.
13.2.6 Das Ermittlungsverfahren der Staatsanwaltschaft und der Strafprozess Im Gegensatz zum Zivilprozess bewirkt das Bankgeheimnis im Ermittlungsverfahren der Staatsanwaltschaft und im Strafprozess keine Sonderstellung der Banken. Das Bankgeheimnis berechtigt nicht zur Zeugnisverweigerung gem. § 52, 53 StPO.517 Mitarbeiter und Organe der Bank sind zudem zur Aussage gegenüber der Staatsanwaltschaft gem. § 161a StPO verpflichtet.518 Aufgrund eines richterlichen Beschlusses können gem. §§ 94 Abs. 2, 98 StPO Unterlagen der Bank, die als Beweismittel geeignet sind, beschlagnahmt werden. Zum Zweck der Beschlagnahme ist gem. § 103 StPO auch die Durchsuchung der Geschäftsräume der Bank unter den 516
BaFin, Rundschreiben 1/2002, 1 ff.
517
Bruchner/Krepold, Bankrechts-Handbuch I, § 39 Rn. 220.
518
Bruchner/Krepold, Bankrechts-Handbuch I, § 39 Rn. 223 ff.; vgl. auch dazu unten Kapitel 16.5.
13.2 Die Datenverarbeitung aufgrund eines Gesetzes
193
dort genannten Voraussetzungen möglich.519 Daneben kann durch richterlichen Beschluss – und bei Gefahr im Verzuge auch durch Staatsanwaltschaft – die Herausgabe beweiserheblicher Gegenstände gem. § 95 von der Bank verlangt werden.520 Aufgrund eines richterlichen Beschlusses kann zudem eine Rasterfahndung gem. § 98a und b StPO angeordnet werden, die auch Kundendaten der Bank umfassen kann.521
13.2.7 Sonstige Auskunftsansprüche staatlicher Stellen gegenüber Banken Aufgrund des Einkommenssteuergesetzes (EStG), des Erbschaftssteuergesetzes (ErbStG) und im Sozialrecht bestehen weitere Auskunftsansprüche staatlicher Stelle gegenüber den Banken. Steuerpflichtige haben die Möglichkeit, bei Auszahlung von Kapitalerträgen durch einen Freistellungsauftrag einen Sparer-Freibetrag in Anspruch zu nehmen (§ 44a Abs. 1 Nr. 1, Abs. 2 Nr.1 EStG). Um Missbrauch bei der Angabe der SparerFreibeträge zu verhindern, sind die Banken gem. § 45d EStG verpflichtet, dem Bundeszentralamt für Steuern auf Verlangen das Freistellungsvolumen mitzuteilen.522 Im Todesfall eines Kunden sind die Banken gem. § 33 ErbStB i.V.m. ErbStDV verpflichtet, dem Erbschaftssteuerfinanzamt die bei der Bank befindlichen Vermögensgegenstände und die gegen die Bank bestehenden Forderungen mitzuteilen, soweit diese eine bestimmte Grenze übersteigen.523 Bei der Überprüfung der Hilfsbedürftigkeit des Antragstellers z. B. bei der Beantragung der Sozialhilfe haben die Sozialhilfeträger keinen Anspruch gegen Kreditinstitute auf Auskunft über die Vermögensverhältnisse des Antragstellers. Der Antragsteller muss jedoch gem. § 60 Abs. 1 Sozialgesetzbuch I (SGB I) auf Verlangen des Leistungsträgers der Auskunftserteilung durch die Banken zustimmen. Dabei ist jedoch der Grundsatz der Verhältnismäßigkeit zu wahren. In dieser Hinsicht ist zwischen Kreditinstituten und kommunalen Spitzenverbänden ein besonderes Verfahren abgestimmt worden.524 Zum Zweck der Überwachung des Außenwirtschaftsverkehrs kann gem. § 44 AWG u. a. die Deutsche Bundesbank bei den Teilnehmern am Außenwirtschaftsverkehr Auskünfte einholen.525 519
Dahm, BuB Rn. 2/890 ff.
520
Dahm, BuB Rn. 2/895.
521
Vgl. im einzelnen dazu unten Kapitel 16.5. Durch das Gesetzespaket der sog. Vorratsdatenspeicherung werden die verdeckten strafprozessualen Ermittlungsmaßnahmen (§§ 98a bis 101, 110a bis 110e und 163d bis 163f StPO) neu gestaltet.
522
Weber, BuB Rn. 2/905.
523
Weber, BuB Rn. 2/906.
524
Weber, BuB Rn. 2/910 ff.
525
Weber, BuB Rn. 2/914.
194
13 Die Zulässigkeit der Verarbeitung von Kundendaten
13.3 Datenverarbeitung aufgrund überwiegenden Interesses Die wichtigste Vorschrift für die Privatwirtschaft, die als Rechtsgrundlage im BDSG selbst eine Datenverarbeitung erlaubt, ist § 28. § 28 regelt u. a. die Datenverarbeitung aufgrund überwiegenden Interesses der verantwortlichen Stelle oder eines Dritten. In Hinsicht auf diese Vorschrift schlägt sich die Anwendungskonkurrenz zwischen Bankgeheimnis und Datenschutz in besonderer Weise nieder.
13.3.1 Keine Weitergabe von Kundeninformationen aufgrund überwiegenden Interesses gemäß Bankgeheimnis Das Bankgeheimnis kennt keine Datenverarbeitung aufgrund einer Interessenabwägung. Ausnahmsweise ist die Bank nach dem Grundsatz von Treu und Glauben gem. § 242 BGB nicht mehr im vollen Umfang zur Vertraulichkeit verpflichtet, wenn der Kunde vertragsbrüchig ist und z. B. ein Darlehen nicht wie vereinbart zurückführt. § 242 BGB begründet aber keine generelle Möglichkeit der Bank, aus dem Gesichtspunkt des überwiegenden Interesses Kundendaten an Dritte weiterzugeben. Zudem ist ein Rückgriff auf § 28 über die Datenweitergabe aufgrund eines Gesetzes nicht möglich. Eine Datenweitergabe ist gem. § 2 AGB-Banken durch eine Rechtsvorschrift legitimiert, wenn diese Rechtsvorschrift eine Datenweitergabe gebietet. Als solche Rechtsvorschrift kommt § 28 BDSG in Betracht. § 28 BDSG lässt zwar eine Datenweitergabe aufgrund überwiegenden Interesses zu, gebietet diese Datenweitergabe aber nicht. Ausgehend vom Bankgeheimnis scheidet also ein Rückgriff auf § 28 auch auf diesem Wege aus. Diese Einschränkung wird zudem durch ein inhaltliches Argument gestützt. Wenn die Bank sich gegenüber dem Kunden vertraglich zur Verschwiegenheit verpflichtet, kann sie sich von dieser Verschwiegenheitspflicht nicht wieder befreien, indem sie sich gegenüber dem Kunden auf ein überwiegendes Interesse beruft. Anhand von § 28 BDSG wird auch ein anderer Unterschied zwischen Datenschutz und Bankgeheimnis sichtbar. Das Bankgeheimnis ist eine Verschwiegenheitspflicht, die sich vor allem gegen eine Weitergabe von Informationen an Dritte richtet. Die bankinterne Datenverarbeitung wird vom Bankgeheimnis nicht geregelt. Die einzige Ausnahme dazu bildet das interne Bankgeheimnis. Der Datenschutz regelt dagegen sowohl die Datenweitergabe an Dritte, als auch die interne Datenverarbeitung der verantwortlichen Stelle. Das Verbot der automatisierten Einzelentscheidung gem. § 6a ist dafür ein gutes Beispiel. Aber auch die Nutzung der Daten als interne Verwendungsform der verantwortlichen Stelle wird u. a. in § 28 geregelt. Mangels einer Regelung durch das Bankgeheimnis greift hier wiederum das BDSG als Auffanggesetz ein. Ein Beispiel aus der Praxis ist die Einführung und Ausgestaltung eines CRM-Systems, die allein nach dem Datenschutz zu bewerten ist, da das Bankgeheimnis in Hinblick auf die interne Datenverarbeitung keine Aussage trifft.
13.3 Datenverarbeitung aufgrund überwiegenden Interesses
195
13.3.2 Die Datenverarbeitung gem. § 28 BDSG (inkl. Zweckänderung) Auf Basis des § 28 BDSG ist eine Datenverarbeitung der verantwortlichen Stelle aufgrund überwiegenden Interesses unter folgenden Voraussetzungen gerechtfertigt: 1. Die wichtigste Möglichkeit ist die Datenverarbeitung zur Vertragsabwicklung mit dem Kunden (§ 28 Abs. 1 Nr. 1).526 Die Datenverarbeitung zum Zweck der Vertragsabwicklung ist auch nach dem Bankgeheimnis möglich. Der Zweck des Vertrages zwischen dem Kunden und der Bank ist gerade, die zur Vertragserfüllung notwendigen Geschäfte zu tätigen und die dazu erforderliche Datenweitergabe an Dritte vorzunehmen. Erteilt der Kunden seiner Bank z. B. einen Zahlungsauftrag an einen bestimmten Zahlungsempfänger, der sein Konto bei einer anderen Bank führt, ist die dazu erforderliche Datenübermittlung sowohl an die Bank des Zahlungsempfängers als auch die Datenübermittlung an den Zahlungsempfänger selbst legitimiert.527 Auch die interne Datenverarbeitung der Bank zum Zweck der Vertragserfüllung ist unter dem Gesichtspunkt des Datenschutzes gedeckt. Dieser internen Verwendungsart steht auch das Bankgeheimnis nicht entgegen. 2. Nach § 28 Abs. 1 Nr. 2 ist eine Datenverarbeitung legitimiert, die im überwiegenden Interesse der verantwortlichen Stelle ist und der kein überwiegendes Interesse des Betroffenen entgegensteht.528 An dieser Stelle wird die schon erwähnte Verengung des Anwendungsbereichs des § 28 BDSG durch das Bankgeheimnis wirksam.529 Eine Datenweitergabe an Dritte aufgrund überwiegenden Interesses der Bank ist nach dem Bankgeheimnis grundsätzlich nicht möglich. Da das Bankgeheimnis hier den engeren Regelungsgehalt hat, verdrängt das Bankgeheimnis i.d.R. § 28 Abs. 1 Nr. 2 BDSG im Hinblick auf die Datenübermittlung an Dritte. Anders ist die Rechtslage, wenn die Bank ausnahmsweise gem. § 242 BGB zur Datenweitergabe an Dritte auch nach dem Bankgeheimnis berechtigt ist, weil z. B. der Kunde selbst vertragsbrüchig ist und ein Darlehen nicht wie vereinbart zurückzahlt.530 In dieser Konstellation ist die Bank nach dem Bankgeheimnis zur Datenweitergabe an einen Käufer der Not leidenden Forderung befugt. Zum gleichen Ergebnis gelangt die Interessenabwägung gem. § 28 Abs. 1 Nr. 2, da die Bank ein wirtschaftliches Inte526
Allgemein dazu Simitis in Simitis, BDSG, § 28, Rn. 79 ff.
527
Von einem Teil der Datenschutzaufsichtsbehörden wird die Weitergabe der Kontonummer und der Bankleitzahl des Zahlungsanweisenden an den Begünstigten durch die Bank als nicht erforderlich für eine Überweisung angesehen; vgl. z.B. Düsseldorfer Kreis vom 01.12.2006 in Düsseldorf.
528
Allgemein dazu: Simitis in Simitis, BDSG, § 28, Rn. 133 ff.
529
Steding/Meyer, BB 2001, 1693 (1700).
530
Vgl. oben Kapitel 11.4.2 Ausnahme vom Bankgeheimnis.
196
13 Die Zulässigkeit der Verarbeitung von Kundendaten
resse an der Veräußerung der Forderung besitzt und der vertragsbrüchige Kunde i.d.R. kein überwiegendes Gegeninteresse geltend machen kann.531 Hinsichtlich der internen Datenverarbeitung greift ausschließlich § 28 Abs. 1 Nr. 2, da die interne Datenverarbeitung vom Bankgeheimnis nicht explizit geregelt wird. Die Datennutzung der Kundendaten zum Zweck eines CRM-Systems ist daher für die Bank aufgrund von § 28 Abs. 1 Nr. 2 möglich, soweit aufgrund der konkreten Ausgestaltung des CRM kein überwiegendes Interesse des Kunden entgegensteht. 3. § 28 Abs. 1 Nr. 3 hat keine besondere Relevanz für die Verarbeitung von Kundendaten für die Bank. 4. Die Datenverarbeitung im überwiegenden Interesse eines Dritten gem. § 28 Abs. 3 Nr. 1 ist wiederum grundsätzlich durch das Bankgeheimnis nicht möglich, soweit es sich um eine Datenweitergabe an einen Dritten handelt. Auch hier greift der engere Regelungsbereich des Bankgeheimnisses, das die Bank gerade zur Verschwiegenheit gegenüber Dritten verpflichtet. Die bankinterne Nutzung der Kundendaten im überwiegenden Interesse eines Dritten wäre grundsätzlich möglich, da diese Nutzung nicht durch das Bankgeheimnis geregelt wird. Praktisch ist allerdings kaum ein Anwendungsfall denkbar, da die Datennutzung einen gewissen Bezug zur Vertragserfüllung aufweisen muss.532 Für die Zweckänderung der Datenverarbeitung, die nach § 28 grundsätzlich möglich ist, gilt das oben gesagte entsprechend: 1. Eine Zweckänderung ist gem. § 28 Abs. 2 möglich, wenn dies im überwiegenden Interesse der verantwortlichen Stelle gem. § 28 Abs. 1 Nr. 2 liegt und kein überwiegendes Gegeninteresse des Betroffenen besteht. Eine daraus resultierende Übermittlung scheidet wiederum grundsätzlich aufgrund Bankgeheimnisses aus, da sonst die Verschwiegenheitspflicht der Bank verletzt würde. Eine Zweckänderung im Hinblick auf die interne Nutzung der Kundendaten durch die Bank ist zwar möglich. Diese Nutzung müsste jedoch einen Bezug zum Vertragzweck aufweisen, so dass kaum ein Anwendungsfall für die Zweckänderung im Hinblick auf die interne Datennutzung offen bleibt. 2. Für die Möglichkeit der Zweckänderung im Interesse eines Dritten gem. § 28 Abs. 3 Nr. 1 gilt das oben unter 4. Gesagte. Als relevanter Anwendungsbereich des § 28 bleibt für die Bank also im wesentlichen § 28 Abs. 1 Nr. 1 und Nr. 2 übrig, wobei die Datenweitergabe an Dritte aufgrund überwiegenden Interesses der Bank gem. § 28 Abs. 1 Nr. 2 aufgrund des Bankgeheimnisses i.d.R. nicht möglich ist. 531
Vgl. unten Kapitel 16.2 Abtretungsverbot von Forderungen.
532
Hartmann, BuB Rn. 17/140.
13.3 Datenverarbeitung aufgrund überwiegenden Interesses
197
13.3.3 Konsequenzen für die Praxis des Datenschutzes Die Konsequenzen für die Praxis des Datenschutzes in der Bank lassen sich durch die datenschutzrechtliche Diskussion um Unternehmenszusammenschlüsse gut veranschaulichen. Innerhalb Deutschlands war der Kauf der Dresdner Bank AG durch die Allianz533 und deren Integration in den Allianzkonzern die bisher größte Akquisition im Finanzsektor. Die Dresdner Bank blieb als selbstständige Aktiengesellschaft bestehen, Hauptaktionär der Dresdner Bank AG wurde die Allianz im Wege eines sog. Share-Deals.534 Eine Weitergabe von Kundendaten der Bank an die neue Muttergesellschaft zum Zweck des sog. Cross Selling bedurfte einer datenschutzrechtlichen Legitimation. Bank und Versicherung sind zwei selbständige rechtliche Einheiten, obwohl sie demselben Konzern angehören. Da weder das Bankgeheimnis, noch der Datenschutz ein sog. Konzernprivileg anerkennen, sind beide Gesellschaften im Verhältnis zueinander als Dritte anzusehen. In der datenschutzrechtlichen Literatur wurde diskutiert, ob eine Datenweitergabe mit dem überwiegenden Interesse der Bank gegenüber ihren Kunden gem. § 28 BDSG gerechtfertigt werden könne. Da eine Datenübermittlung an Dritte aufgrund überwiegenden Interesses gem. § 28 für Banken jedoch aufgrund des Bankgeheimnisses nicht möglich ist, war diese Diskussion im Grunde überflüssig. Eine Datenübermittlung ist daher nur aufgrund einer Einwilligung möglich. Diese bedarf zudem der Schriftform, da für die Einwilligung wiederum die Vorschriften des BDSG als datenschutzrechtlicher Mindeststandard greifen.535 § 28 ist für die Banken noch in einer weiteren Hinsicht bedeutsam: Die Aufsichtsbehörden für den Datenschutz sind nur zuständig für die Einhaltung der Datenschutzgesetze, nicht aber für die Einhaltung des Bankgeheimnisses. Die Einhaltung des Bankgeheimnisses als vertragliche Nebenpflicht ist ausschließlich relevant im Verhältnis der Vertragspartner des Bankvertrages zueinander. Vor diesem Hintergrund kann der Datenschutzbeauftragte einer Bank eine Datenverarbeitung gegenüber der Aufsichtsbehörde mit dem überwiegenden Interesse gem. § 28 BDSG begründen, auch wenn das überwiegende Interesse des § 28 BDSG im Rechtsverhältnis mit dem Bankkunden als legitime Grundlage einer Datenverarbeitung nicht einschlägig ist. Umgekehrt ist das Bankgeheimnis zwar nicht Gegenstand der staatlichen Datenschutzaufsicht. Gleichwohl kann das Bankgeheimnis Auswirkungen auf die Interessenabwägung der Aufsichtsbehörde gem. § 28 BDSG haben.536 Insbesondere im Hinblick auf § 28 Abs. 1 Nr. 2 kann sich die Interessenabwägung im Einzelfall zugunsten des Kunden im Falle einer Datenübermittlung an Dritte verschie533
Die gesellschaftsrechtliche Struktur der Allianz zum damaligen Zeitpunkt wird hier vereinfacht dargestellt.
534
Vgl. Kapitel 14.4.
535
Allgemein zur sog. „Allfinanzklausel“ Simitis in Simitis, BDSG, § 4a, Rn. 67 und 69; vgl. oben Kapitel 13.1.3 Die Einwilligung in der Praxis des Datenschutzes.
536
Steding/Meyer, BB 2001, 1693 (1700).
198
13 Die Zulässigkeit der Verarbeitung von Kundendaten
ben, weil die Bank vertraglich gegenüber Dritten zur Verschwiegenheit verpflichtet ist.537 Schließlich ist in besonders gelagerten Fällen auch eine asymmetrische datenschutzrechtliche Begründung denkbar: Die Einwilligung hinsichtlich des Bankgeheimnisses erfordert keine besondere Form und kann auch konkludent erteilt werden. Gleichzeitig kann im Hinblick auf den Datenschutz ein überwiegendes Interesse der Bank gegenüber dem Kunden vorliegen. Auf diese Weise kann eine Datenverarbeitung asymmetrisch legitimiert werden.538
13.4 Die Auftragsdatenverarbeitung 13.4.1 Die Auftragsdatenverarbeitung gem. § 11 BDSG Eine für die private Wirtschaft und die Kreditwirtschaft wichtige Form der Datenverarbeitung ist die Auftragsdatenverarbeitung gem. § 11 BDSG. Auf dieser Grundlage werden zahlreiche Outsourcing-Geschäfte abgewickelt, die für die Kreditwirtschaft eine hohe Bedeutung erlangt haben. Bei einer Auftragsdatenverarbeitung ist die verantwortliche Stelle Auftraggeber und der Auftragsdatenverarbeiter ist Auftragnehmer. Die Besonderheit bei der Auftragsdatenverarbeitung ist, dass der Auftragnehmer gegenüber der verantwortlichen Stelle nicht als Dritter i.S.d. Datenschutzrechts qualifiziert wird.539 Dies hat zur Konsequenz, dass die Datenweitergabe an den Auftragnehmer nicht als Übermittlung i.S.d. § 3 Abs. 4 Nr. 3 bewertet wird. Der Auftragnehmer kann also bestimmte Datenverarbeitungsarten für die verantwortliche Stelle übernehmen, ohne dass es einer Einwilligung der Kunden oder einer anderen Rechtsgrundlage für die Datenweitergabe bedarf. Diese Konstruktion korrespondiert allerdings mit einer besonderen Verpflichtung der verantwortlichen Stelle. Der Auftraggeber bleibt auch weiterhin verantwortlich für die Datenverarbeitung, obwohl die Verarbeitung nun beim Auftragsdatenverarbeiter stattfindet. Eine weitere Konsequenz dieser besonderen datenschutzrechtlichen Figur ist, dass der Auftragnehmer die Datenverarbeitung nur für die verantwortliche Stelle ausführen und die Daten nicht für eigene Geschäftszwecke nutzen darf. Gegenüber der verantwortlichen Stelle, ist der Auftragnehmer streng weisungsgebunden.540 Im Einzelnen sind die wichtigsten Voraussetzungen für die Auftragsdatenverarbeitung folgende:
537
Hartmann, BuB Rn. 17/122.
538
Weber, BuB, Rn. 2/932 und 1054 f.; vgl. oben Kapitel 13.1.4.
539
Gola/Schomerus, BDSG, § 11 Rn. 3.
540
Bergmann/Möhrle/Herb, Datenschutzrecht, § 11 Rn. 49.
13.4 Die Auftragsdatenverarbeitung
199
1. Die verantwortliche Stelle muss den Auftragsdatenverarbeiter sorgfältig auswählen, dieser muss insbesondere ein ausreichendes Maß an Datensicherheit gewährleisten (§ 11 Abs. 2 Satz 1).541 2. Der Auftrag muss schriftlich erfolgen: die zu erbringenden Leistungen, die Maßnahmen zur Datensicherheit und die Unterauftragsverhältnisse sind im Vertrag festzulegen (§ 11 Abs. 2 Satz 2). 3. Die verantwortliche Stelle hat sich von den Maßnahmen zur Datensicherheit beim Auftragnehmer zu überzeugen (§ 11 Abs. 2 Satz 4). Die verantwortliche Stelle hat ein Prüfrecht, das im Vertrag schriftlich hinterlegt wird. 4. Der Auftragnehmer ist weisungsgebunden (§ 11 Abs. 3). 5. Der Betroffene hat seine Rechte gegenüber der verantwortlichen Stelle und nicht gegenüber dem Auftragnehmer geltend zu machen (§ 11 Abs. 1 Satz 2). Der Verweis auf die technischen und organisatorischen Maßnahmen gem. § 9 und Anlage hat auch zur Folge, dass der Auftragnehmer gem. Nr. 8 der Anlage das Trennungsgebot zu beachten hat. Arbeitet der Auftragsdatenverarbeiter also für mehrere Auftraggeber gleichzeitig, hat er die Mandantenfähigkeit derart sicherzustellen, dass die Daten der jeweiligen Auftraggeber zumindest logisch getrennt voneinander verarbeitet werden.
13.4.2 Die Übertragung der Auftragsdatenverarbeitung auf das Bankgeheimnis In den AGB-Banken ist eine Auftragsdatenverarbeitung nicht erwähnt. Das Bankgeheimnis regelt nur die Datenweitergabe an Dritte auf der Grundlage der Einwilligung, eines Gesetzes oder der Bankauskunft. Gleichwohl stellt sich die Frage, ob die Grundsätze der Auftragsdatenverarbeitung aus dem historisch jüngeren Bereich des Datenschutzes auf das Bankgeheimnis übertragen werden können. a) Nach der Auslegung des Wortlautes ist die Übermittlung i.S.d. Datenschutzes gleichbedeutend mit der Weitergabe i.S.d. Bankgeheimnisses. Denn der Begriff Übermittlung ist gem. § 3 Abs. 4 Nr. 3 a BDSG als Weitergabe an einen Dritten definiert. Das Bankgeheimnis verwendet den Begriff Weitergabe gleichfalls als Transfer von Kundeninformationen an einen Dritten. Die Begriffe werden also synonym benutzt. b) Nach der inhaltlichen Bedeutung ist Übermittlung ein Datentransfer an einen Dritten in der Weise, dass nach dem Datentransfer der Dritte für die erhaltenen Daten datenschutzrechtlich verantwortlich wird.
541
Wronka, RDV 2003, 132 f.
200
13 Die Zulässigkeit der Verarbeitung von Kundendaten
Das Bankgeheimnis verwendet Weitergabe auch im Sinne eines Transfers von Kundeninformationen an einen Dritten derart, dass dem Dritten die rechtliche Verantwortung für die Kundeninformationen eingeräumt wird. Der Datentransfer bei einer Auftragsdatenverarbeitung dagegen ist gem. BDSG keine Übermittlung, weil der Auftraggeber für die Datenverarbeitung weiter rechtlich verantwortlich bleibt und der Auftragsdatenverarbeiter folglich kein Dritter i.S.d. § 3 Abs. 8 Satz 3 BDSG ist. In gleicher Weise ist die Weiterleitung von Kundeninformationen einer Bank an einen Auftragsdatenverarbeiter keine Weitergabe an einen Dritten: die Bank bleibt gegenüber ihren Kunden verantwortlich dafür, dass der Auftragsdatenverarbeiter seinerseits die Vertraulichkeit der Kundeninformationen wahrt.542 Dies geschieht im Hinblick auf das Bankgeheimnis, indem die Bank den Auftragsdatenverarbeiter vertraglich u. a. auf Einhaltung des Bankgeheimnisses verpflichtet und darüber hinaus die Nutzung der Kundeninformationen zu eigenen Zwecken des Auftragsdatenverarbeiters ausschließt. Die weiteren Zulässigkeitsvoraussetzungen des BDSG für die Auftragsdatenverarbeitung – wie z. B. der Abschluss eines schriftlichen Vertrages mit genauer Festlegung des Leistungsumfanges, die strikte Weisungsgebundenheit des Auftragsdatenverarbeiters und die Kontrollbefugnisse der verantwortlichen Stelle – sind von der Bank gleichfalls im Hinblick auf alle bankgeheimnisrelevanten Informationen einzuhalten. Insgesamt ist die Übertragung der Grundsätze der Auftragsdatenverarbeitung auf das Bankgeheimnis also sachgerecht.543 Die Auffassung, die Grundsätze der Auftragsdatenverarbeitung auf das Bankgeheimnis zu übertragen, wird dadurch gestärkt, dass die BaFin grundsätzlich das Outsourcing von Bankdienstleistungen für zulässig erachtet.544 Anders als der Datenschutz für die Datenschutzaufsicht, ist die Einhaltung des Bankgeheimnisses für die BaFin nicht Kernbereich der aufsichtsrechtlichen Tätigkeit. Gleichwohl nimmt die BaFin dann zum Thema Bankgeheimnis Stellung, wenn besondere Risiken für die Einhaltung des Bankgeheimnisses auftreten.545 Die BaFin sieht das Bankgeheimnis beim Outsourcing als gewahrt an, wenn der Auftragsdatenverarbeiter auf die Einhaltung des Bankgeheimnisses verpflichtet wird.546 Ein Beispiel, das die Bedeutung des Outsourcings für die Bankwirtschaft zeigt, ist das Outsourcing des Zahlungsverkehrs der Deutschen Bank, der Dresdner Bank
542
Sutschet, RDV 2004, 97 (100).
543
Im Ergebnis ebenso: Bruchner/Krepold, Bankrechts-Handbuch I, § 39, Rn. 27.
544
BaFin, Rundschreiben 11/2001, Auslagerung von Bereichen auf ein anderes Unternehmen gem. § 25a KWG, www.bafin.de.
545
Z.B. BaFin, Rundschreiben 4/97, Veräußerung von Kundenforderungen im Rahmen von ABS-Transaktionen, www.bafin.de.
546
BaFin, Rundschreiben 11/2001, Auslagerung von Bereichen auf ein anderes Unternehmen gem. § 25a KWG, Rn. 43 f.; www.bafin.de; zu den weiteren Voraussetzungen siehe nächstes Kapitel 13.4.4.
13.4 Die Auftragsdatenverarbeitung
201
und der HypoVereinsbank an ein Tochterunternehmen der Postbank. Die Kunden tätigen die Überweisungen nach wie vor bei ihrer Bank. Diese nimmt jedoch nur noch den Auftrag des Kunden entgegen. Die gesamte Abwicklung des Zahlungsverkehrs übernimmt im Hintergrund der Auftragsdatenverarbeiter. Auf diese Weise können die Banken durch sog. Skaleneffekte erhebliche Kosteneinsparungen erzielen.
13.4.3 Aufsichtsrechtliche Anforderungen gem. § 25a KWG beim Outsourcing Ergänzend wird an dieser Stelle noch darauf hingewiesen, dass die Banken mit § 25a Abs. 2 KWG eine weitere Vorschrift beim Outsourcing zu beachten haben. Falls wesentliche Bereiche547 der Bank an einen Dienstleister ausgelagert werden, muss die Bank u. a. sicherstellen, dass sie ihre Kontrollmöglichkeiten zur Unternehmenssteuerung auch hinsichtlich dieser Bereiche weiter ausüben kann. Neben den Kontrollmöglichkeiten des Unternehmens muss auch gewährleistet sein, dass die BaFin ihre Aufsicht über die Bank weiterhin effektiv durchführen kann.548 Die einzelnen Anforderungen, die die BaFin an das Outsourcing eines wesentlichen Bereiches stellt, sind mit den Anforderungen der Auftragsdatenverarbeitung weitgehend vergleichbar: die Auslagerung kann nur aufgrund eines Vertrages erfolgen, eine detaillierte Leistungsbeschreibung ist erforderlich, der ausgelagerte Bereich muss in die internen Kontrollen der Bank einbezogen werden und der Dienstleister hat die Bestimmungen über den Datenschutz und das Bankgeheimnis einzuhalten.549
547
Zu diesem Begriff vgl. BaFin, Rundschreiben 11/2001, Rn. 10; www.bafin.de.
548
BaFin, Rundschreiben 11/2001, Rn. 12 ff.; www.bafin.de.
549
BaFin, Rundschreiben 11/2001, Rn. 23 ff. vgl. zusätzlich: BaFin, Zusammenstellung der aufsichtlich notwendigen Vertragselemente und Musterklauseln zur Erfüllung der Anforderungen des Rundschreibens 11/2001; www.bafin.de.
14 Bankspezifische Verarbeitungsarten
14.1 Das Verbot der Auswertung der Zahlungsverkehrszwecke Banken haben durch die Kontenbewegungen und die Abwicklung des Zahlungsverkehrs eine Vielzahl von Informationen über ihre Kunden. Ein Teil dieser Daten sind jedoch für die Banken tabu. Dies geht aus der Rechtsprechung des Bundesgerichtshofes (BGH) hervor. Der BGH hat entschieden, dass die Zahlungszwecke, die der Zahlungsanweisende an den Zahlungsempfänger weiterleitet und die den Grund der Zahlung näher beschreiben, nur für das Rechtsverhältnis zwischen Zahlungsanweisenden und Zahlungsempfänger bestimmt sind.550 Die Bank, die diese Zahlungszwecke in ihren elektronischen Datensätzen speichert, darf daher diese Zahlungszwecke nicht systematisch auswerten und für eigene Zwecke – z. B. das CRM – verwenden. Überweist z. B. ein Mieter an seinen Vermieter einen bestimmten Betrag und gibt den Zweck der Zahlung mit „Miete“ an, darf die Bank diesen Zahlungszweck nicht als Gegenstand einer systematischen Auswertung wählen. Die Bank darf also keine Auswertung durchführen, in der sie Mieter ermittelt, die einen bestimmten Betrag an Miete zahlen, um diesen Kunden eine Baufinanzierung anzubieten. Das Verbot der Auswertung von Zahlungszwecken lässt sich direkt weder dem Datenschutz, noch dem Bankgeheimnis zuordnen. Dieses Verbot ist ein richterliches Sonderrecht für die Banken, das aber aufgrund der Zweckbindung, die sowohl im Datenschutz als auch beim Bankgeheimnis zu beachten ist, sinnvoller Weise in die Verantwortlichkeit des Datenschutzbeauftragten einer Bank fällt. Verstößt ein Kreditinstitut gegen das o.g. Verbot kann dieses Verhalten auch wettbewerbswidrig sein und gegen die Vorschriften des UWG (Gesetz gegen den unlauteren Wettbewerb) verstoßen.
14.2 Die Schufa Der Name der Schufa AG geht auf die Bezeichnung „Schutzvereinigung für allgemeine Kreditsicherung“ zurück.551 Die Schufa ist als eine Gemeinschaftseinrichtung des Kreditgewerbes entstanden, um Kreditinstitute, Sparkassen und Ge550
BGH, Der Betrieb 1976, 1956, BGH Z 50, S. 227(230) – DB 1988, S. 1710.
551
Bergmann/Möhrle/Herb, Datenschutzrecht, § 29 Rn. 40.
204
14 Bankspezifische Verarbeitungsarten
nossenschaftsbanken vor Kreditausfällen zu bewahren, die auf zahlungsunwillige oder zahlungsunfähige Kunden zurückzuführen sind. Zu diesem Zweck werden insbesondere Daten über nicht vertragsgemäßes Verhalten des Verbrauchers bei der Schufa gespeichert. Die Schufa hat für ihre Tätigkeit auf weitere Bereiche des Wirtschaftslebens – u. a. für Telekommunikation und Internethandel – ausgedehnt. Ein neuer inhaltlicher Auskunftsbereich, den die Schufa anbietet, ist das sog. Kreditscoring.552 Die Banken fragen bei der Schufa vor allem an, wenn der Betroffene ein Girokonto eröffnen, eine Kreditkarte oder einen Kredit beantragen will. Im Falle einer „negativen Schufaauskunft“, wenn ein nicht vertragsgemäßes Verhalten des Verbrauchers im Schufadatenbestand gespeichert ist, erhält der Betroffene das Girokonto nur auf Guthabenbasis und die Einräumung eines Dispositionskredites wird abgelehnt. Im Falle einer negativen Schufa wird die Bank zudem i.d.R. keine Kreditkarte an diesen Verbraucher ausgeben und keinen Kredit gewähren. Datenschutzrechtlich sind zwei Richtungen des Datenaustausches zu unterscheiden: Zum einen meldet die Bank Daten über die Beantragung, die Aufnahme und die Beendigung einer Kontoverbindung wie auch Informationen über ein nicht vertragsgemäßes Verhalten des Kunden an die Schufa. Zum anderen meldet die Schufa an die Bank, ob ein nicht vertragsgemäßes Verhalten des Kunden bei einer anderen Bank vorliegt. Die Datenweitergabe von der Bank an die Schufa erfolgt aufgrund einer Einwilligung des Kunden, die schriftlich erfolgen muss. Eine Besonderheit ist dabei, dass die Bank bei der Übermittlung von Negativmerkmalen zudem eine Interessenabwägung vorzunehmen hat. Bei sog. „harten Negativmerkmalen“ (z. B. Zwangsvollstreckungsmaßnahmen) bestehen grundsätzlich keine Bedenken gegen die Datenübermittlung an die Schufa. Bei sog. „weichen Negativmerkmalen“ hat die Bank im Einzelfall abzuwägen, ob die unterbliebene Zahlung tatsächlich auf der Zahlungsunfähigkeit bzw. -unwilligkeit des Schuldners beruht oder ob der Schuldner nach einer zumindest vertretbaren Rechtsauffassung berechtigt ist, die Zahlung zu verweigern.553 Auf diese von der Bank vorzunehmende Interessenabwägung wird in der Einwilligungserklärung („Schufaklausel“) ausdrücklich hingewiesen.554 Die Freiwilligkeit der Einwilligungserklärung kann man in Zweifel ziehen, denn der Verbraucher wird z. B. einen Kredit nur gewährt bekommen, wenn die Bank sich bei der Schufa überzeugen konnte, dass keine negativen Verbraucherdaten vorliegen. Gleichwohl ist die Schufaklausel grundsätzlich von den Aufsichtsbehörden anerkannt. 552
Vgl. die aktuelle Schufaklausel in Kontoeröffnungsanträgen Schaffland/Wiltfang, BDSG, § 4 Anh. 1.
553
Weber, BuB, Rn. 2/1049; kritisch zum Begriff „weiche“ und „harte Negativdaten“ Ehmamm in Simitis, BDSG, § 29 Rn. 159 ff.
554
Eine Gesetzesinitiative im Hinblick auf das Kreditscoring wird in dieser Hinsicht ggfs. zu einer gesetzlichen Definition und Einengung der Vorraussetzungen für das Vorliegen der „harten“ und „weichen“ Negativmerkmale führen.
14.3 Der Mitarbeiter als Kunde
205
Die Schufaklausel umfasst mittlerweile auch die Verarbeitung von Kundendaten zum Kreditscoring.555 Die Verarbeitung der Verbraucherdaten bei der Schufa erfolgt auf Basis des § 29 BDSG, da die Schufa datenschutzrechtlich als Auskunftei angesehen wird. Die Erhebung und Speicherung der Daten erfolgt gem. § 29 Abs. 1 Nr. 1, da grundsätzlich kein Grund zur Annahme besteht, dass der Verbraucher ein Gegeninteresse an dieser Speicherung hat.556 Die Datenübermittlung der Schufa an die Bank ist gem. § 29 Abs. 2 zulässig, wenn die Bank ein berechtigtes Interesse an der Datenübermittlung glaubhaft darlegt und kein Grund zur Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat. Für die Schufa ist dabei das Bankgeheimnis irrelevant, da die Schufa keinen Vertrag mit dem Verbraucher geschlossen hat. Die Schufa prüft stichprobenartig das Vorliegen des berechtigten Interesses bei der Bank nach. Die Bank hat in diesem Fall den Anfragegrund (z. B. Kredit) und den konkreten Anfrageanlass (Anfrage einer Baufinanzierung) nachzuweisen. Darüber hinaus hat der Verbraucher das Recht, eine Selbstauskunft gem. § 34 bei der Schufa einzuholen, um z. B. vor einer beabsichtigten Kreditbeantragung Klarheit über die von ihm gespeicherten Daten zu erhalten. Sind bestimmte Einträge unplausibel, kann er sich mit einer Beschwerde an die Schufa wenden, die wiederum die betreffende Bank zur Stellungnahme auffordert. Die Schufa hat eine Übersicht der Anfragegründe (z. B. AG für Anfrage Giro, AK für Anfrage Kredit) zusammengestellt und die jeweiligen Anfragegründe definiert. Wiederholte Kreditanfragen haben sich negativ auf die von der Schufa ermittelten Scorewerte des Kunden ausgewirkt. Dies hatte zur Folge, dass Kunden auf der Suche nach den besten Kreditkonditionen im Laufe ihrer Suche mit immer höherer Kreditausfallwahrscheinlichkeit belegt wurden. Vor diesem Hintergrund hat die Schufa einen neuen gesonderten Anfragegrund für die Abfrage von Kreditkonditionen eingeführt.
14.3 Der Mitarbeiter als Kunde Die überwiegende Zahl der Mitarbeiter einer Bank sind zugleich Kunden desselben Instituts. Das Verhältnis zwischen Arbeitgeber und Arbeitnehmer ist ausschließlich durch den Datenschutz geprägt, der zwar nicht explizit gesetzlich geregelt ist, aber unter den Begriff Arbeitnehmerdatenschutz zusammengefasst wird. Im Kundenverhältnis gelten sowohl das Bankgeheimnis, als auch der Datenschutz als Auffanggesetz und Mindeststandard. Das Besondere an dieser Konstellation ist, dass die Bank als verantwortliche Stelle sowohl über die Informationen aus dem Arbeitnehmerverhältnis – wie z. B. 555
Vgl. dazu Kapitel 16.3 Kreditscoring.
556
Bergmann/Möhrle/Herb, Datenschutzrecht, § 29 Rn. 46.
206
14 Bankspezifische Verarbeitungsarten
die Personalakte und Gehaltsinformationen – als auch über Informationen aus dem Kundenverhältnis – wie z. B. Einlagen, Depotbestand oder Kredite – verfügt. Da dies jedoch zwei verschiedenartige Verhältnisse sind und die Datenverarbeitung jeweils einem anderen Zweck dient, sind diese Informationskreise durch die Bank grundsätzlich voneinander zu trennen.557 Die Personalabteilung, die für die Mitarbeiterbetreuung zuständig ist, darf also keinen Zugriff auf die Kundendaten des Mitarbeiters erhalten und der Kundenbetreuer, der den Mitarbeiter in finanziellen Angelegenheiten berät, darf keinen Zugriff auf die Personaldaten erhalten. Eine Datenweiterleitung von der einen zur anderen Stelle der Bank ist zwar keine Datenübermittlung gem. § 3 Abs. 4 Nr. 3 BDSG, da es sich um eine Weiterleitung an eine andere interne Stelle handelt und somit keine Übermittlung an einen Dritten vorliegt. Da es sich um zwei jeweils unterschiedliche Vertragsverhältnisse des Mitarbeiters zur Bank handelt, liegt es nahe, die Vorschriften über eine Zweckänderung der Datenverarbeitung gem. § 28 Abs. 2 BDSG und die Voraussetzungen für eine Datenweitergabe an Dritte hinsichtlich des Bankgeheimnisses als Bewertungsmaßstab für die Frage heranzuziehen, ob ausnahmsweise eine Datenweitergabe zwischen den unterschiedlichen internen Stellen zulässig ist.
14.4 Fusionen und Übernahmen in der Kreditwirtschaft In der Bankwirtschaft wird aktuell eine Konsolidierung innerhalb der EU erwartet. Mit dem Erwerb der HypoVereinsbank durch die italienische Bankengruppe UniCredit ist der bedeutendste grenzüberschreitende Zusammenschluss auf dem europäischen Bankenmarkt erfolgt. Auch in Deutschland waren große Zusammenschlüsse in der Finanzwirtschaft mit dem Erwerb der Dresdner Bank durch die Allianz und dem Erwerb der Eurohypo durch die Commerzbank zu verzeichnen. Eine wichtige Frage in diesem Zusammenhang ist, inwieweit und in welcher Weise die Kundendaten zusammengeführt werden können. Dazu müssen die datenschutzrechtlichen Voraussetzungen geklärt werden. Bei der datenschutzrechtlichen Einschätzung ist zunächst nach den unterschiedlichen juristischen Möglichkeiten eines Unternehmenszusammenschlusses zu differenzieren. 1. Bei einem sog. Asset-Deal erfolgt eine Übertragung von einzelnen Vermögenswerten und Vertragsverhältnissen von dem ursprünglichen Rechtsträger auf einen neuen Rechtsträger. Die beiden Rechtsträger selbst bleiben unverändert bestehen. Die Übertragung der Vermögenswerte und Vertragsverhältnisse erfolgt im Wege der Einzelrechtsnachfolge.558 Die Übertragung der einzelnen Vertragsverhältnissen bei der Vertragsübernahme hängt dabei von der Zustimmung des jeweiligen Vertragspartners (z. B. des Bankkunden) ab. Datenschutzrechtlich handelt es sich um eine 557
Bergmann/Möhrle/Herb, Datenschutzrecht, § 28 Rn. 70.
558
Essers/Hartung, RDV 2002, 278 (284 f.).
14.4 Fusionen und Übernahmen in der Kreditwirtschaft
207
Datenübermittlung vom ursprünglichen zum neuen Rechtsträger.559 Im Falle einer Datenübertragung zwischen Banken sind sowohl das Bankgeheimnis, als auch der Datenschutz zu beachten. Da das Bankgeheimnis grundsätzlich keine Möglichkeit bietet, Daten aufgrund überwiegenden Interesses der verantwortlichen Stelle zu übertragen, ist die Einwilligung der Kunden erforderlich. Die Einwilligung des Kunden wiederum hat gem. § 4a BDSG schriftlich zu erfolgen. Die Zulässigkeit der Datenübermittlung hängt daher von der schriftlichen Einwilligung des Privatkunden ab.560 2. Der Erwerb einer Bank kann auch dadurch erfolgen, dass die erworbene Bank gesellschaftsrechtlich bestehen bleibt und nur der Eigentümer dieser Gesellschaft wechselt, indem die übernehmende Bank z. B. die Mehrheit der Aktien der übernommenen Bank erwirbt (sog. Share-Deal). Der ShareDeal ist zunächst datenschutzrechtlich neutral, weil die Gesellschaft unverändert bestehen bleibt.561 Wird die erworbene Bank allerdings anschließend in einen neuen Konzern eingegliedert, bleibt sie eine rechtlich selbständige Einheit und die verantwortliche Stelle für die Verarbeitung ihrer Kundendaten. Eine Weiterleitung der Kundendaten an die erwerbende Bank wäre eine Datenübermittlung an Dritte, da weder Datenschutz noch Bankgeheimnis ein sog. Konzernprivileg kennen. Dazu ist wiederum die Einwilligung des Kunden erforderlich, die – wie oben erwähnt – gem. § 4a BDSG schriftlich erfolgen muss.562 3. Nach dem UmwG (Umwandlungsgesetz) kann auch eine Fusion zweier Banken erfolgen. Kennzeichnend dafür ist, dass zwei verschiedene Gesellschaften in einer einzigen Gesellschaft zusammengefasst werden: Entweder wird eine Gesellschaft auf eine andere Gesellschaft verschmolzen (Verschmelzung zur Aufnahme) oder zwei Gesellschaften werden auf eine neue Gesellschaft (Verschmelzung durch Neugründung) verschmolzen.563 Da dies im Wege der Gesamtrechtsnachfolge geschieht, ist die neue Gesellschaft im Verhältnis zu den Ursprungsgesellschaften kein Dritter im Rechtssinne.564 Mangels einer Datenweitergabe an einen Dritten liegt auch keine Datenübermittlung gem. § 3 Abs. 4 Nr. 3 BDSG vor. Einer besonderen datenschutzrechtlichen Rechtfertigung bedarf ein solcher Datentransfer also nicht.565 559
Essers/Hartung, RDV 2002, 278 (284 f.).
560
Duisberg, RDV 2004, 104 (108); eine Mustereinwilligung in Schaffland/Wiltfang, BDSG, § 4 Anhang 1; vgl. ausführlich zur Einwilligung oben Kapitel 13.1 und 13.3.
561
Duisberg, RDV 2004, 104 (108).
562
Zur sog. „Allfinanzklausel“ auch Simitis in Simitis, BDSG, § 4a, Rn. 67 und 69.
563
Vgl. § 2 Nr. 1 und Nr. 2 UmwG; Marsch-Barner in Kallmeyer, UmwG, § 2 Rn. 2 ff.
564
Schaffland, NJW 2002, 1539 (1540).
565
Essers/Hartung, RDV 2002, 278 (286 f.); anders Duisberg, RDV 2004, 104 (109).
15 Datenschutz und Internet
15.1 Eine Einführung in das Telemediengesetz In das Telemediengesetz (TMG) erfolgt an dieser Stelle nur eine Einführung. Der wichtigste Anwendungsfall für das TMG im Bereich der Banken ist das OnlineBanking. Das Online-Banking hat jedoch diverse Spezifika, so dass ein Großteil des TMG nicht relevant ist. Gleichwohl ist für die Praxis des Datenschutzes in der Bank die Kenntnis der wichtigsten Vorschriften des TMG unerlässlich. Auf die umstrittene Vorratsdatenspeicherung wird nicht eingegangen.566
15.1.1 Vom Teledienstegesetz und Teledienstedatenschutzgesetz zum Telemediengesetz Am 01.03.2007 ist das neue TMG in Kraft getreten. Das neue TMG löst das Teledienstegesetz (TDG), das Teledienstedatenschutzgesetz (TDDSG) und den Mediendienstestaatsvertrag ab. Diese Zusammenführung ist vor dem Hintergrund der technischen Entwicklung, die durch die Konvergenz der verschiedenen Medien im Internet gekennzeichnet ist, sinnvoll. Inhaltlich führt das TMG die individuelle Nutzung von Telediensten, die ursprünglich im TDG und im TDDSG geregelt war, mit der Kommunikation, die sich an die Öffentlichkeit richtet und die im MDStV geregelt war, zusammen. Der Bereich des Rundfunks fällt weiterhin unter den Rundfunkstaatsvertrag (RStV), der auch überarbeitet wurde. Der RStV ist gem. § 1 Abs. 4 TMG für die Inhalte der redaktionell bearbeiteten Telemedien einschlägig. Das liegt in der Kompetenzverteilung des Grundgesetzes begründet, die die Gesetzgebungskompetenz für den Rundfunk den Bundesländern zuweist. Die Länder haben sich im Rundfunkstaatsvertrag auf die inhaltlichen Anforderungen geeinigt. Die Bestimmungen zum Datenschutz sind im TMG im Vergleich zum TDDSG weitgehend gleich geblieben. Neu ist vor allem der umfangreiche Auskunftsanspruch gem. § 14 Abs. 2 und die Anforderungen für die kommerzielle Kommunikation gem. § 6. Auf die wichtigsten Änderungen wird im Folgenden gesondert hingewiesen.
566
Vgl. dazu u.a. Gitter/Schnabel, MMR 2007, 411 ff.
210
15 Datenschutz und Internet
15.1.2 Allgemeine Informationspflichten der Diensteanbieter 15.1.2.1 Allgemeine Informationspflichten, Impressumspflicht Diensteanbieter, soweit sie geschäftsmäßig, in der Regel entgeltliche Telemedien anbieten, haben gem. § 5 TMG Informationen bereitzustellen über: x Name, ladungsfähige Anschrift, je nach Gesellschaftsform weitere Angaben x E-Mail-Adresse zur schnellen elektronischen Kontaktaufnahme x zuständige Aufsichtsbehörde (soweit behördliche Zulassung erforderlich) x Handelsregistereintragung oder entsprechende Eintragung x bei bestimmten Berufen: besondere Berufsbezeichnung und Kammerzugehörigkeit x Umsatzsteueridentifikationsnummer x bei bestimmten Gesellschaftsformen Angabe, falls die Gesellschaft insolvent ist Diese Informationen müssen leicht erkennbar, direkt zugänglich und dauerhaft verfügbar sein. Ausgenommen von diesen Informationspflichten sind private Homepages und solche von Idealvereinen, die u. U. zwar auf Dauer angelegt, aber unentgeltlich sind.567 In der Praxis werden diese Informationen auf der Frontpage der Webseite der Banken als Impressum in der Weise zur Verfügung gestellt, dass alle Angaben durch wenige „Klicks“ erreichbar sind. 15.1.2.2 Besondere Informationspflichten bei kommerzieller Kommunikation Neu in das TMG aufgenommen sind die Informationspflichten bei kommerzieller Kommunikation gem. § 6. Bei kommerzieller Kommunikation mittels Telemedien muss gem. § 6 Abs. 1 Nr. 1 – 4 x der kommerzielle Charakter klar erkennbar x der Auftraggeber klar identifizierbar x verkaufsfördernde Bestandteile inkl. deren Bezugsbedingen unzweideutig mitgeteilt x Preisausschreiben und Gewinnspiele inkl. deren Teilnahmebedingungen unzweideutig angegeben werden. 567
Spindler, CR 2007, 239 (245).
15.1 Eine Einführung in das Telemediengesetz
211
Kommerzielle Kommunikation per E-Mail darf gem. § 6 Abs. 2 weder den Absender noch den kommerziellen Charakter in Kopf- und Betreffzeile verschleiern oder verheimlichen. Diese Vorschrift zielt insbesondere auf Spam ab. Spam ist zukünftig eine Ordnungswidrigkeit gem. § 16 Abs. 1 TMG und kann mit einer Geldbuße bis 50.000 € geahndet werden. Voraussetzung ist, dass die Verschleierung absichtlich erfolgt. Die Banken haben auf diese neuen gesetzlichen Anforderungen in der Weise reagiert, dass sie die Angaben in der E-Mail-Signatur, die jeder E-Mail eines Mitarbeiters angefügt wird, ausgeweitet haben. Insbesondere werden an dieser Stelle die Handelsregisternummer, die Mitglieder des Vorstandes und der Aufsichtsratsvorsitzende explizit aufgeführt.
15.1.3 Die Anwendbarkeit der Datenschutzbestimmungen gemäß TMG 15.1.3.1 Anwendbarkeit des Telemediengesetz Telemedien sind definiert als elektronische Informations- und Kommunikationsdienste. Das TMG findet gem. § 1 Abs. 1 TMG auf alle elektronischen Informations- und Kommunikationsdienste Anwendung, soweit sie nicht Telekommunikation gem. TKG oder Rundfunk i.S.d. RStV sind. In Abgrenzung zu den Telemedien ist Telekommunikation einerseits Individualkommunikation und besteht andererseits ganz in der Übertragung von Signalen über TK-Netze. 568 Das wichtigste Anwendungsbeispiel für ein Telemedium im Bankenumfeld ist das Online-Banking.569 Weitere Beispiele sind Verkehrs-, Wetter-, Börsendaten, Newsgroups, Chatrooms, elektronische Presse und Online-Shopping. Unter Telekommunikation fällt dagegen VoIP (Voice over IP). 15.1.3.2 Anwendbarkeit der Datenschutzbestimmungen des TMG Die Vorschriften über den Datenschutz regeln die Verarbeitung personenbezogener Daten der Nutzer durch die Anbieter. Nutzer i.S.d. der Datenschutzbestimmungen ist jede natürliche Person. Dies steht im Gegensatz zu § 2 Nr. 3 wonach jede natürliche oder juristische Person Nutzer ist. Da der Schutzbereich des Datenschutzes nur personenbezogene Daten umfasst, gelten die datenschutzrechtlichen Vorschriften gem. § 11 Abs. 2 konsequenter Weise nicht für juristische Personen. Die Anwendbarkeit der Datenschutzbestimmungen ist gem. § 11 Abs. 1 ausgeschlossen, soweit die Bereitstellung solcher Dienste ausschließlich beruflichen oder dienstlichen Zwecken innerhalb eines Dienst- und Arbeitsverhältnis oder innerhalb oder zwischen (öffentlichen) oder nicht öffentlichen Stellen ausschließ568
Spindler, CR 4/2007, 239 (241).
569
Hartmann, BuB Rn. 17/391 ff.
212
15 Datenschutz und Internet
lich zur Steuerung von Arbeits- oder Geschäftsprozessen erfolgt. Die Sonderstellung der innerbetrieblichen Datenverarbeitung galt schon nach dem alten TDDSG.570 Offen bleibt weiter das Problem der Zulassung der Privatnutzung von E-Mail und Internet im Arbeitsverhältnis. Lässt ein Arbeitgeber die private Nutzung zu oder duldet er diese, so finden die Bestimmungen des TMG Anwendung, obwohl deren vollumfängliche Anwendung nicht sachgerecht ist und darüber hinaus zu erheblichen rechtlichen Risiken für die Untenehmen führt. Die Anwendung der datenschutzrechtlichen Bestimmungen des TMG ist gem. § 11 Abs. 3 eingeschränkt, soweit Telemedien überwiegend aus Telekommunikation bestehen. Als Beispiele für diese eingeschränkte Anwendbarkeit der datenschutzrechtlichen Bestimmungen des TMG sind in der Gesetzesbegründung Access-Provider und E-Mail-Dienste genannt.571
15.1.4 Grundsätze der Datenverarbeitung gem. TMG 15.1.4.1 Strenge Zweckbindung Die Verarbeitung der für die Bereitstellung von Telemedien erhobenen Daten unterliegt gem. § 12 Abs. 1 einer strengen Zweckbindung. Eine Zweckänderung ist nur zulässig aufgrund des TMG selbst oder eines anderen Gesetzes oder aufgrund der Einwilligung des Betroffenen. Eine Zweckänderung aufgrund eines überwiegenden Interesses der verantwortlichen Stelle, die in § 28 Abs. 2 BDSG vorgesehen ist, ist nach dem TMG ausgeschlossen.572 Das TMG führt in § 12 zudem den neuen Begriff der Verwendung ein. 15.1.4.2 Das Kopplungsverbot Der Diensteanbieter darf gem. § 12 Abs. 3 die Bereitstellung seiner Dienste nicht von der Einwilligung des Nutzers in die Verwendung seiner Daten abhängig machen. Eine solche Bedingung ist unzulässig unter der Einschränkung, dass eine Nutzung der gleichen Art von Mediendiensten für den Nutzer nicht auf andere Weise unzumutbar ist. Damit wird dem Diensteanbieter kein reines aber ein eingeschränktes Kopplungsverbot verwehrt.573 15.1.4.3 Informationspflichten hinsichtlich der Datenverarbeitung Den Diensteanbieter treffen gem. § 13 Abs. 1 umfangreiche Informationspflichten zu Beginn der Nutzung über Art, Umfang und Zwecke der Erhebung und Nutzung der personenbezogenen Daten des Nutzers. Gegenstand der Information ist auch
570
Schmitz in Spindler/Schmitz/Geis, TDDSG, § 1 Rn. 32 ff.
571
Begr. RegE, BT-Drucksache 16/3078, 25.
572
Schmitz in Spindler/Schmitz/Geis, TDDSG, § 3 Rn. 31.
573
Schmitz in Spindler/Schmitz/Geis, TDDSG, § 3 Rn. 39.
15.1 Eine Einführung in das Telemediengesetz
213
eine Datenverarbeitung in einem Nicht-EU-Mitgliedsstaat ohne angemessenes Datenschutzniveau. Die Informationen müssen für den durchschnittlichen Nutzer verständlich und jederzeit abrufbar sein (§ 13 Abs. 1, Satz 2). Auch über Maßnahmen im Vorfeld eines Verfahrens, das erst später zur Identifizierung des Nutzers führt, ist bereits zu informieren (§ 13 Abs. 1, Satz 3).574 15.1.4.4 Elektronische Einwilligung Das TMG führt die Möglichkeit der elektronischen Einwilligung ein. Eine Einwilligung kann elektronisch gem. § 13 Abs. 2 erteilt werden, wenn sichergestellt ist, dass x der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, x die Einwilligung protokolliert wird, x der Nutzer die Einwilligung jederzeit abrufen kann und x der Nutzer die Einwilligung jederzeit widerrufen kann. Auf die Widerrufbarkeit der Einwilligung ist der Nutzer vor Abgabe der Einwilligung entsprechend hinzuweisen (§ 13 Abs. 3). Durch die Rechtsprechung sind die Vorraussetzungen für die elektronische Einwilligung mittlerweile konkretisiert worden. Die Einwilligung muss durch eine eindeutige und bewusste Handlung des Nutzers erteilt werden. Dies hat zur Konsequenz, dass die Einwilligung durch eine bestätigende Wiederholung des Übermittlungsbefehls abgegeben wird. Dabei muss die Einwilligung zumindest auszugsweise auf dem Bildschirm erscheinen.575 15.1.4.5 Datensicherheit Die technischen und organisatorischen Maßnahmen zur Datensicherheit sind in § 13 Abs. 4 erheblich detaillierter gefasst in § 9 und Anlage BDSG. Der Diensteanbieter muss sicherstellen, dass x der Nutzer den Dienst jederzeit beenden kann, x die Protokolldaten über den Ablauf des Zugriffs unmittelbar nach dem Zugriff gelöscht und im Falle von Aufbewahrungspflichten gesperrt werden, x keine Kenntnis des Zugriffs durch den Nutzer von Dritten möglich ist, x der Nutzer in der Lage ist, seine personenbezogenen Daten beim Zugriff auf unterschiedliche Telemedien getrennt voneinander verwenden lassen zu können,
574
Schmitz in Spindler/Schmitz/Geis, TDDSG, § 4 Rn. 3.
575
OLG Brandenburg 7 U 52/05 vom 11.01.2006, 7 f.
214
15 Datenschutz und Internet
x Nutzungsdaten über die Verwendung verschiedener Dienste nur zur Abrechnung zusammengeführt werden können und x zur Werbung, Marktforschung oder Optimierung der Dienste zulässige pseudonymisierte Nutzungsprofile nicht mit den Identifikationsdaten des Nutzers zusammengeführt werden können. Die technisch und organisatorischen Maßnahmen dienen im TMG dazu, die Vorschriften des TMG technisch abzusichern. Insofern spricht man auch vom Systemdatenschutz. Zur Haftung und zur Sicherheit beim Online-Banking siehe unten Kapitel 15.2. 15.1.4.6 Anonyme und pseudonyme Nutzung der Telemedien Der Diensteanbieter ist verpflichtet, die Inanspruchnahme der Dienste und deren Bezahlung anonym oder unter einem Pseudonym zu ermöglichen.576 Diese Pflicht steht unter dem Vorbehalt der technischen Möglichkeit und der Zumutbarkeit aus Sicht des Anbieters. Der Anbieter hat den Nutzer entsprechend zu informieren (§ 13 Abs. 6). 15.1.4.7 Weitervermittlung an andere Diensteanbieter Über eine Weitervermittlung zu einem anderen Diensteanbieter ist der Nutzer gem. § 13 Abs. 5 zu informieren. 15.1.4.8 Das Auskunftsrecht des Nutzers Der Nutzer hat gem. § 13 Abs. 7 ein Auskunftsrecht gegenüber dem Diensteanbieter. Der Auskunftsanspruch verweist auf § 34 BDSG mit der Möglichkeit, die Auskunft auch elektronisch zu erteilen, soweit der Nutzer eine elektronische Auskunft verlangt. 15.1.4.9 Subsidiäre Geltung des BDSG Das BDSG gilt subsidiär. Insbesondere die Vorschriften über die Bestellung eines Datenschutzbeauftragten und die Aufsichtsbehörden für den Datenschutz sind zu beachten.
15.1.5 Die Unterscheidung zwischen Bestands-, Nutzungs- und Abrechnungsdaten Das TMG unterscheidet zwischen Bestands-, Nutzungs- und Abrechnungsdaten. Je nach Datentyp sind andere Regelungen über die Zulässigkeit der Datenverarbeitung zu beachten. 576
Zur Anonymisierung und Pseudonymisierung vgl. oben Kapitel 12.3.
15.1 Eine Einführung in das Telemediengesetz
215
15.1.5.1 Bestandsdaten Bestandsdaten sind gem. § 14 Abs. 1 solche personenbezogenen Daten, deren Verarbeitung für die Ausgestaltung des zwischen Nutzer und Diensteanbieter bestehenden Vertrages hinsichtlich der Nutzung von Telemedien notwendig sind. Beispiele hierfür sind Name und postalische Adresse des Nutzers. 15.1.5.2 Nutzungsdaten Nutzungsdaten sind gem. § 15 Abs. 1 solche personenbezogene Daten, deren Verwendung notwendig ist, um die Inanspruchnahme des Dienstes zu ermöglichen und abzurechnen. Das Gesetz nennt Regelbeispiele, deren Aufzählung allerdings nicht abschließend ist: Identifikationsmerkmale des Nutzers, Beginn und Ende der Nutzung und in Anspruch genommene Dienste des Nutzers.577 15.1.5.3 Abrechnungsdaten Abrechnungsdaten sind gem. § 15 Abs. 5 ein spezieller Unterfall der Nutzungsdaten, nämlich solche Daten, die ausschließlich zur Entgeltberechnung des Dienstes erforderlich sind.
15.1.6 Die Zulässigkeit der Datenverarbeitung gem. TMG 15.1.6.1 Einwilligung und Gesetz Die Verarbeitung personenbezogener Daten ist zulässig, soweit das TMG oder eine andere Rechtsvorschrift dies erlaubt oder der Nutzer einwilligt. Dies klingt ähnlich wie die entsprechende Vorschrift im BDSG mit dem entscheidenden Unterschied, dass eine Interessenabwägung, wie sie in § 28 BDSG vorgesehen ist, ausscheidet. Darüber hinaus kann die Einwilligung elektronisch erteilt werden (§ 13 Abs. 2). 15.1.6.2 Die Verarbeitung von Bestandsdaten Bestandsdaten darf der Diensteanbieter gem. § 14 Abs. 1 nur erheben und verwenden, soweit diese Daten für den Vertrag über die Nutzung von Telemedien mit dem Nutzer erforderlich ist. Erforderlich sind dabei Daten die i.S.d. Verhältnismäßigkeitsgebotes, die für die Vertragsgestaltung und -abwicklung unerlässlich sind.
577
Schmitz in Spindler/Schmitz/Geis, TDDSG, § 6 Rn. 8 ff.
216
15 Datenschutz und Internet
15.1.6.3 Die Verarbeitung von Nutzungsdaten Einfache Nutzungsdaten, die keine Abrechnungsdaten sind, darf der Diensteanbieter gem. § 15 Abs.1 nur verarbeiten, soweit und solange (§ 15 Abs. 4) diese zur Inanspruchnahme der Telemedien erforderlich ist. 15.1.6.4 Die Verarbeitung von Abrechnungsdaten Die Verarbeitung von Abrechnungsdaten ist am umfangreichsten im TMG geregelt: Die einzelnen Aspekte sollen hier nur stichpunktartig aufgeführt werden: x Speicherung der Abrechnungsdaten zeitlich über das Ende der Nutzung hinaus, soweit erforderlich (§ 15 Abs. 4 Satz 1), x Sperrung der Abrechnungsdaten, soweit eine Speicherung aufgrund von Aufbewahrungspflichten erforderlich (§ 15 Abs. 4 Satz 2), x ohne Einzelnachweis: Abrechnungsdaten dürfen keine Details über die in Anspruch genommen Telemedien enthalten (§ 15 Abs. 6), x mit Einzelnachweis auf Verlangen des Nutzers: Speicherung auch der Detaildaten der Abrechnungsdaten bis 6 Monate ab Rechnungsversand (Fristverlängerung bei Reklamation des Nutzers), x Zusammenführung bei Nutzung von verschiedenen Telemedien, soweit zur Abrechnung erforderlich (§ 15 Abs. 2), x Übermittlung an Dritte, soweit zur Abrechnung erforderlich (15 Abs. 5), x bei Anhaltspunkten für Missbrauch durch den Nutzer: Verlängerung der Speicherfrist, soweit zur Rechtsverfolgung erforderlich Information über Datenspeicherung an Nutzer, soweit keine Vereitelung der Rechtsverfolgung. Das Landgericht Darmstadt hat in einem Rechtsstreit eines Nutzers gegen einen sog. Accessprovider (Zugangsvermittler) entschieden, dass der Anbieter von Telekommunikationsdiensten bei einem Flatratetarif die dynamische IP-Adresse des Nutzers unmittelbar nach Beendigung des Nutzungsvorgangs zu löschen hat. Zwar erging die Entscheidung auf Basis des Telekommunikationsgesetzes (TKG), die entsprechenden Vorschriften sind jedoch inhaltsgleich mit den Vorschriften des TMG. Da bei einem volumenunabhängigen Tarif (Flatrate) die dynamische IPAdresse, mit Hilfe derer es dem Anbieter möglich ist, die in Anspruch genommenen Dienste dem betroffenen Nutzer zuzuordnen, zur Abrechnung der Dienste nicht mehr erforderlich sind, war der Anbieter verpflichtet, diese Information unmittelbar nach Beendigung der Nutzung zu löschen.578 578
LG Darmstadt Az. 25 S 118/2005.
15.2 Exkurs: Die Haftung bei Angriffen auf das Online-Banking
217
15.1.6.5 Die Verarbeitung von Nutzungsdaten zum Zweck der Werbung u. a. Zum Zweck der Werbung, Marktforschung und bedarfsgerechten Gestaltung ist der Anbieter gem. § 15 Abs. 3 berechtigt, pseudonyme Nutzungsprofile zu erstellen, soweit der Nutzer nicht widerspricht. Diese Nutzungsprofile dürfen nicht reidentifiziert werden. Der Nutzer ist auf sein Recht zum Widerspruch vorab hinzuweisen. Zum Zweck der Marktforschung dürfen anonymisierte Nutzungsdaten an andere Anbieter übermittelt werden (§ 15 Abs. 5 Satz 2).
15.1.7 Auskunftspflicht gegenüber staatlichen Stellen und zur Durchsetzung von Urheberrechten Eine sehr umstrittene Regelung ist die Auskunft über Bestandsdaten an staatliche Stellen und zur Durchsetzung von Urheberrechten gem. § 14 Abs. 2. Diese Vorschrift ist im Vergleich zur alten Rechtslage neu in das TMG aufgenommen worden. Auskunftsberechtigt sind gegenüber dem Anbieter x die Strafverfolgungsbehörden: Staatsanwaltschaft und die Polizei als Hilfsorgan der Staatsanwaltschaft, x die sog. Bedarfsträger: Verfassungsschutzbehörden des Bundes und der Länder, Bundesnachrichtendienst (BND), Militärischer Abschirmdienst (MAD), x die Polizeibehörden zur präventiven Gefahrenabwehr, x die Rechteinhaber zur Durchsetzung der Rechte am geistigen Eigentum. Ausgesprochen bedenklich an dieser Regelung ist die generelle Zugriffsmöglichkeit der Polizei sowohl in ihrer repräsiven – die Staatsanwaltschaft unterstützenden – als auch in ihrer präventiven Funktion als Gefahrenabwehrbehörde. Zu weitgehend ist auch die Einräumung eines Auskunftsanspruchs für Inhaber von Rechten geistigen Eigentums. Aus § 11 Abs. 3, der Telemedien vom Auskunftsanspruch des § 14 Abs. 2 ausnimmt, wenn diese überwiegend aus Telekommunikation bestehe, wird teilweise gefolgert, dass Accessprovider weiterhin keine IP-Adressen von Nutzern herausgeben dürfen. 579
15.2 Exkurs: Die Haftung bei Angriffen auf das Online-Banking 15.2.1 Einführung Die Schnittmenge zwischen IT-Sicherheit und Datenschutz bildet § 9 und Anlage BDSG, in dem technische und organisatorische Maßnamen zur IT-Sicherheit 579
Spindler, CR 2007, 239 (S. 243).
218
15 Datenschutz und Internet
definiert werden, die von der verantwortlichen Stelle zu erfüllen sind. Im TMG ist dieser Aspekt in § 13 Abs. 4 geregelt und spezifisch auf die Anforderungen der Telemedien hin definiert. Dennoch ist es schwierig ganz bestimmte Anforderungen z. B. für die technische Abwicklung des Online-Banking aus diesen Regelungen abzuleiten. Daher wird die Diskussion um die Sicherheit des Online-Banking nicht in Hinblick auf die technisch organisatorischen Maßnahmen gem. § 13 Abs. 4 TMG geführt, sondern unter dem Aspekt der Haftung für Schäden, die bei Angriffen auf das Online-Banking entstehen. Dies liegt insofern nahe, als die Angriffe auf das Online-Banking nicht nur auf einen unbefugten Datenzugriff, sondern vielmehr auf die Durchführung einer unbefugten Finanztransaktion bezogen auf das Konto des Geschädigten abzielen.
15.2.2 Das Online-Banking Technisch ist das Online-Banking so gestaltet, dass der Kunde sich mit einer PIN (Personal Identification Number) gegenüber dem Online-Portal authentifizieren und jede Überweisung jeweils durch eine TAN (Transaction Number) bestätigen muss. Im Hinblick auf die weitere technische Gestaltung sind im Einzelnen mehrere Varianten möglich. Mittlerweile verbreitet ist das iTAN-Verfahren. Dabei wird der Kunde vom System der Bank aufgefordert, eine ganz bestimmte, indizierte TAN (z. B. TAN Nr. 37) von seiner TAN-Liste einzugeben. Daneben wird von einigen Instituten auch das sog. mTAN-Verfahren angeboten. Dabei sendet die Bank dem Kunden unmittelbar vor der Durchführung seiner Überweisung eine TAN auf sein Mobiltelefon zu. Der Kunde kann die Überweisung ausschließlich mit dieser bestimmten TAN durchführen. Bei einer Variante des mTAN-Verfahrens werden dem Kunden darüber hinaus die Überweisungsdaten auf das Handy zugesandt, so dass der Kunde prüfen kann, ob diese Überweisungsdaten richtig sind oder ob diese Überweisungsdaten (z. B. das Empfängerkonto) durch Dritte manipuliert wurden.
15.2.3 Die Vertragsbeziehungen beim Online-Banking Der Kunde und die Bank haben zunächst einen Girovertrag bzw. einen Kontokorrentvertrag geschlossen, der generell die Kontoführung regelt. Möchte der Kunde eine Überweisung tätigen, schließen der Kunde und die Bank zusätzlich einen Überweisungsvertrag gem. § 676a BGB ab, der ausschließlich eine bestimmte Überweisung betrifft. Nutzt der Kunde die Online-Banking-Funktionalität, werden i.d.R. Sonderbedingungen hinsichtlich der Nutzung des Online-Banking-Portals als AGB vereinbart. In diesen Sonderbedingungen sind insbesondere Pflichten des Kunden aufgenommen, die die sichere Aufbewahrung der PIN und der TAN betreffen. Diese AGB unterliegen der besonderen AGB-Kontrolle gem. §§ 305 ff. BGB.
15.2 Exkurs: Die Haftung bei Angriffen auf das Online-Banking
219
15.2.4 Die klassischen Angriffsszenarien In Hinblick auf die Angriffsmethode werden drei Grundtypen unterschieden: Das (E-Mail basierte) Phishing ist dadurch gekennzeichnet, dass dem Opfer eine gefälschte E-Mail zugesandt wird. Diese E-Mail ist im Design der betreffenden Bank gehalten und fordert den Empfänger – oft unter dem Vorwand angeblicher Sicherheitsprobleme – auf, einen link anzuklicken. Der link führt den Kunden auf eine gefälschte Internetseite, die wiederum genau so aussieht wie das Online-Portal der betreffenden Bank. Diese Seite unterscheidet sich allerdings im Hinblick auf die URL (die im Browser angegeben Internetadresse) von der Originalseite der Bank. Auf dieser gefälschten Seite wird der Kunde zur Eingabe seiner PIN und einer bzw. mehrerer TAN aufgefordert. PIN und TAN werden vom Angreifer gespeichert und zu einem späteren Zeitpunkt für eine unbefugte Überweisung vom Kundenkonto genutzt. Auch das sog. Pharming basiert darauf, dass dem Kunde vorgetäuscht wird, er befinde sich im Online-Banking-Portal seiner Bank. Beim Pharming erscheint allerdings mit Hilfe einer manipulierten Adressauflösung auch die richtige URL des Online-Portals im Browser. Das auf der falschen Seite angezeigte Zertifikat stimmt i.d.R. nicht mit dem Originalzertifikat der Bankseite überein. Die Fehlleitung des Kunden auf die manipulierte Seite des Angreifers kann beim Pharming z. B. dadurch erfolgen, dass die Zuordnungstabellen des DNS-Servers verfälscht werden. Der klassische Angriff mittels Trojanischem Pferd (im folgenden umgangssprachlich „Trojaner“ genannt) ist dadurch gekennzeichnet, dass der Kunden auf seinem PC ein Programm installiert, das hinter einer Nutzfunktion eine Schadfunktion versteckt, wobei die Schadfunktion für den Kunden nicht ohne technische Hilfsmittel erkennbar ist. Mittlerweile gebräuchliche Schadprogramme installieren sich für den Nutzer unbemerkt auf seinem PC, ohne dass sie gegenüber dem Kunden eine Nutzfunktion vortäuschen. Trojaner überwachen und protokollieren u. a. die Internetkommunikation des Kunden. Gebräuchlich sind z. B. Keylogger, die die Tastatureingabe am PC ausspähen. Wenn der Kunde das Online-BankingSystem startet, fängt der Trojaner die Zugangsdaten PIN und TAN ab, so dass der Angreifer in der Lage ist, mit Hilfe dieser Zugangsdaten zu einem späteren Zeitpunkt eine missbräuchliche Überweisung zu Lasten den Kundenkontos durchzuführen. Eine andere Art von Trojanern fängt PIN und TAN unmittelbar nach der Eingabe durch den Kunden ab und gibt diese Zugangsdaten zeitgleich an das Online Banking Portal weiter (synchroner Angriff). Dabei werden Überweisungsbetrag und Zielkonto manipuliert und eine missbräuchliche Buchung durchgeführt. Da sowohl Mischformen der einzelnen Grundtypen existieren und zudem die Begriffe nicht einheitlich verwendet werden, gestaltet sich die Abgrenzung der Angriffsmethoden im Einzelnen schwierig.
220
15 Datenschutz und Internet
15.2.5 Die Haftung bei Angriffen auf das Online-Banking 15.2.5.1 Der Primäranspruch a) Die Anspruchsgrundlage Sobald die Bank für den Kunden eine Überweisung tätigt, entsteht ein Anspruch der Bank gegenüber dem Kunden, wonach der Kunde die Belastung des Kontos in Höhe der Überweisung auszugleichen hat. Der Anspruch der Bank beruht dabei auf dem Überweisungsvertrag gem. § 676a BGB i.V.m. dem Kontokorrentvertrag. Für das Zustandekommen des Überweisungsvertrages trägt die Bank die Darlegungs- und Beweislast. Wurde der Überweisungsvertrag mittels Online-Banking abgeschlossen, kann die Bank nur darlegen, dass die PIN und eine dem Kunden zugeordnete TAN in das Online-Portal eingegeben wurden. Die Bank kann aber zunächst keinen Vollbeweis führen, dass diese PIN und TAN auch vom Kunden persönlich eingegeben wurden und damit ein Angebot zum Abschluss eines Überweisungsvertrages vom Kunden abgegeben wurde. Den Beweis, dass der Kunde ein Angebot zum Abschluss eines Überweisungsvertrages abgegeben hat, kann die Bank nur führen, wenn eine Beweiserleichterung im Wege des Anscheinsbeweises in Betracht kommt. b) Der Anscheinsbeweis Die Grundsätze des Anscheinsbeweises sind anwendbar, wenn ein typischer Geschehensablauf vorliegt, der nach allgemeiner Lebenserfahrung auf eine bestimmte Ursache oder einen bestimmten Ablauf als maßgeblich für den Eintritt eines bestimmten Erfolges hinweist. Dabei braucht der Erfolg nicht immer eintreten, die Wahrscheinlichkeit des Erfolgseintrittes muss jedoch sehr hoch sein.580 Liegen die Vorraussetzungen für den Anscheinsbeweis vor, kann dieser dadurch entkräftet werden, dass der in Anspruch Genommene Tatsachen darlegt und ggf. beweist, die eine ernsthafte, ebenfalls in Betracht kommende Möglichkeit einer anderen Ursache nahe legen.581 Ein Anscheinsbeweis wurde z. B. in den Fällen zu Grunde gelegt, in denen eine EC-Karte beim Kunden entwendet und zeitlich unmittelbar im Anschluss daran ein Geldbetrag vom Konto mittels Geldautomaten abgehoben wurde. In diesen Fällen geht die Rechtsprechung davon aus, dass die Geheimzahl gleichzeitig mit der EC-Karte in der Geldbörse vom Kunden mitgeführt wurde. Abgesehen von diesem Sachverhalt kommt ansonsten keine andere Ursache in Frage, aufgrund dessen der Angreifer die PIN des Kunden erlangt haben könnte. Insbesondere wurde vom Gericht unter Beratung durch Sachverständige festgestellt, dass das EC-Karten-System technisch hinreichend sicher sei und ein Angriff auf das EC-
580
BGH XI ZR 210/03 vom 05.10.2004, sog. EC-Karten-Entscheidung.
581
BGH XI ZR 210/03 vom 05.10.2004, sog. EC-Karten-Entscheidung.
15.2 Exkurs: Die Haftung bei Angriffen auf das Online-Banking
221
Karten-System, der auf die Ermittlung der PIN bestimmter Kunden abzielt, keinen Erfolg verspreche. Im Hinblick auf das Online-Banking geht die überwiegende Meinung davon aus, dass die Grundsätze des Anscheinsbeweises anwendbar sind. Bei Eingabe der einem bestimmten Kunden zugeordneten PIN und TAN in das Online-BankingPortal könne nach allgemeiner Lebenserfahrung davon ausgegangen werden, diese PIN und TAN seien tatsächlich vom Kunden persönlich eingegeben worden.582 Eine andere Ansicht sieht die Anwendung der Grundsätze des Anscheinsbeweises nur als sachgerecht an bei der Verwendung des mTAN-Verfahrens. Dieses Verfahren beruhe auf einem Medienbruch, da die Eingabe der Zugangsdaten in das Online-Banking-Portal auf einem anderen Kommunikationsweg erfolge, als die Zusendung der TAN per SMS auf das Handy des Kunden. Die Möglichkeit, dass ein Angreifer beide Kommunikationswege unter seine Kontrolle bringt, sei ausgesprochen unwahrscheinlich. Die allgemeine Lebenserfahrung spreche daher dafür, dass die PIN und TAN beim mTAN-Verfahren auch tatsächlich vom Kunden selbst eingegeben worden sei.583 Der Anwendung der Grundsätze über den Anscheinsbeweis allein beim mTANVerfahren ist nicht zuzustimmen. Dies ist eine zu weit reichende Festlegung auf ein bestimmtes Verfahren in einem Bereich, der durch den schnellen technischen Wandel sowohl auf der Bankenseite, als auch auf Seiten der Angreifer gekennzeichnet ist. Zudem können neben dem mTAN-Verfahren die Angriffsmöglichkeiten auf das Online-Banking auch durch andere Maßnahmen der Banken so erheblich reduziert werden, dass auch hier die allgemeine Lebenserfahrung dafür spricht, dass der Kunde die betreffende PIN und TAN persönlich eingegeben hat. Eine dieser Möglichkeiten ist das iTAN-Verfahren. Das iTAN-Verfahren verhindert, dass der Angreifer die Zugangsdaten zunächst speichern kann und sich zu einem späteren Zeitpunkt Zugang zum Online-Banking-System verschafft. Beim iTAN-Verfahren muss die indizierte TAN zeitlich unmittelbar im Anschluss an die Übermittlung dieser bestimmten TAN in das System eingegeben werden. Zu einem späteren Zeitpunkt ist diese bestimmte iTAN verbraucht, so dass asynchrone Angriffe nicht möglich sind. Synchrone Angriffe sind technisch erheblich anspruchsvoller als asynchrone Angriffe und erfolgen im Moment in geringer Anzahl. Der Erfahrungssatz, dass bei Eingabe der einem bestimmten Kunden zugeordneten PIN und iTAN diese Zugangsdaten nach allgemeiner Lebenserfahrung auch von diesem Kunden persönlich eingegeben wurden, wird durch die Möglichkeit synchroner Angriffe aktuell nicht erschüttert. Weiterhin wird dem Kunden durch verschiedene Banken eine Reihe von zusätzlichen Maßnahmen zur Verfügung gestellt, die die Sicherheit des OnlineBanking-Systems erhöhen. So kann der Kunde durch Festlegung eines bestimmten
582
Karper, DuD 2006, 215, 219; Werner, WM 1997, 1516; zweifelnd Borges, NJW 2005, 3313 (3317).
583
Spindler, Online Banking, 34.
222
15 Datenschutz und Internet
Limitbetrages für seine Überweisungen oder durch die Definition eines bestimmten Zeitkorridors, innerhalb dessen er seine Überweisungen tätigt, die Angriffsmöglichkeiten erheblich reduzieren. Darüber hinaus kann im Einzelfall auch durch die Angaben des betroffenen Kunden über sein persönliches Nutzerverhalten darauf geschlossen werden, ob ein Angriff vorlag. Schließlich stellen die Banken mittlerweile Spezialisten in sog. Incidentteams ab, die auf aktuelle Bedrohungen des Online-Banking-Systems unmittelbar mit gezielten Gegenmaßnahmen reagieren können. Im Falle eines Gerichtsverfahrens werden jedoch nicht allein Juristen entscheiden, inwieweit die einzelnen Verfahren des Online-Banking hinreichend sicher sind. Für diese Frage werden aller Voraussicht nach IT-Sachverständige zu Rate gezogen, wie dies bereits im Verfahren zum Missbrauch der EC-Karte geschehen ist. Falls die Bank den Beweis im Einzelfall nicht führen kann, dass der Überweisungsauftrag vom Kunden stammt, hat die Bank keinen vertraglichen Anspruch gegenüber dem Kunden auf Ausgleich der durch die Überweisung entstandenen Kontobelastung. Die Bank kann in diesen Fälle allerdings einen Schadensersatzanspruch gegen den Kunden geltend machen. 15.2.5.2 Der Sekundäranspruch Die Bank kann einen Schadensersatzanspruch gegen den Kunden gem. § 280 Abs. 1 BGB geltend machen, wenn der Kunde seine Vertragspflichten inkl. seiner vertraglichen Nebenpflichten verletzt hat. Eine Sorgfaltspflichtsverletzung des Kunden kommt hier unter zwei Aspekten in Betracht: Der Kunde hat erstens seinen PC nicht hinreichend gegen Angriffe von außen gesichert oder konnte zweitens erkennen, dass ein Dritter seine PIN und TAN zu missbräuchlichen Zwecken abfragt. a) Sorgfaltspflichten des Kunden im Hinblick auf die Sicherung seines PC In der Diskussion um die Sorgfaltspflichten des Kunden beim Schutz seines PC ist zunächst unstreitig, dass der durchschnittliche Online-Kunde überhaupt Sorgfaltspflichten zu erfüllen hat, seinen PC technisch vor Angriffen von außen zu schützen. Die Standardmaßnahmen zum Schutz eines PC, der zur Kommunikation im Internet eingesetzt wird, bestehen im Moment in der Installation eines aktuellen Virenscanners und einer Personal Firewall.584 Darüber hinaus muss der Kunde die aktuellen Sicherheitspatches seines Betriebssystems einspielen.585 Dies setzt auch voraussetzt, dass für das verwendete Betriebssystem vom Hersteller noch Sicher-
584
Spindler, Online Banking, 21.
585
Karper, DuD 2006, 215 (217).
15.2 Exkurs: Die Haftung bei Angriffen auf das Online-Banking
223
heitspatches zur Verfügung gestellt werden.586 Trotz dieser Maßnahmen kann aktuell die Installation von Schadsoftware auf dem PC des Kunden nicht vollends ausgeschlossen werden. Im Hinblick auf die Sorgfaltspflichten des Kunden, kann ein Aspekt des Datenschutzes sinngemäß übertragen werden. Auch der Kunde muss zum Schutz seines Computers technische und organisatorische Maßnahmen ergreifen, die in einem angemessenen Verhältnis zu den Geschäften stehen, die der Kunde mit seinem PC abwickelt.587 Diese Pflicht ist anders als beim Datenschutz kein Erfordernis, das sich aus dem Gesetz ableitet, sondern eine vertragliche Verpflichtung. b) Erkennbarkeit eines Angriffs Falls der Kunde den Angriff erkennen konnte und dennoch seine PIN und TAN weitergibt, begeht der Kunde eine Sorgfaltspflichtsverletzung, die die Bank zum Schadensersatz berechtigt. Die historisch ersten Angriffsversuche auf das Online-Banking wurden im Wege des E-Mail basierten Phishing unternommen. Dabei wurden die E-Mails vielfach in sehr schlechtem Deutsch verfasst und enthielten viele Rechtschreibfehler. Hier konnte der Kunde also erkennen, dass die E-Mail nicht von seiner Bank stammt. Falls er dennoch seine PIN und TAN weitergab, handelte er fahrlässig. Ein anderes Beispiel, bei dem der Kunde einen Missbrauch erkennen kann, ist der sog. 4-TAN-Trojaner. Dieser Trojaner ist ggf. in der Lage sich trotz Virenschutz und Personal Firewall auf dem PC des Kunden zu installieren. Sobald dieser Trojaner aber aktiv wird, fordert er den Kunden auf, insgesamt 4 TAN einzugeben. Hier kann der Kunde erkennen, dass nur die Eingabe einer TAN für eine Transaktion erforderlich ist. Sobald der Kunde Zweifel hegt, muss er sich an die Bank wenden, um den Sachverhalt mit der Bank zu klären. Falls beim Pharming der Angriff derart stattfindet, dass sowohl im Browser die richtige URL als auch auf der perfekt manipulierten Internetseite das zutreffende Zertifikat der Bank erscheint, kann der Kunde den Angriff nicht erkennen. Für einen solchen Angriff haftet der Kunde also nicht.588 Für die Erkennbarkeit des Angriffs ist zudem relevant, welche Informationen der Kunde durch die allgemeine Öffentlichkeit und durch die Informationen im Online-Banking-Portal der Bank über die aktuelle Bedrohungslage erhalten hat. Der Kunde handelt auch dann pflichtwidrig, wenn er in anderer Weise unsachgemäß mit seiner TAN-Liste umgeht und die Liste z. B. nicht sicher aufbewahrt. 586
Zum Teil wird von der Rechtsprechung in einem anderen Zusammenhang auch die Anforderung an den PC-Nutzer gestellt, sich durch einen IT-Fachmann technisch unterstützen zu lassen, falls er nicht selbst über grundlegende technische Kenntnisse verfügt: LG Hamburg, Az. 308 O 407/06 vom 27.06.2006, zur Störerhaftung bei offenem WLAN.
587
Ähnlich aber mit anderer Terminologie Karper, DuD 2006, 215 (217).
588
Borges, NJW 2005, 3313 (3315).
224
15 Datenschutz und Internet
Die Etablierung und Konkretisierung bestimmter Sorgfaltspflichten kann bis zu einer bestimmten Grade auch in den AGB zum Online-Banking erfolgen. Dabei sind jedoch die Restriktionen der ABG-Kontrolle gem. §§ 305 ff. BGB zu berücksichtigen. 15.2.5.3 Die Finanzagenten Die Angreifer auf das Online-Banking bedienen sich bei der Weiterleitung der Geldbeträge sog. Finanzagenten. Die unbefugte Abbuchung vom Kundenkonto wird i.d.R. auf das Konto eines Finanzagenten geleitet. Der Finanzagent wird dabei durch das Versprechen auf eine hohe Provisionszahlung vom eigentlichen Angreifer rekrutiert. Der Finanzagent leitet das Geld wiederum von seinem Konto an ein drittes Konto weiter. Häufig transferiert der Finanzagent die Geldsumme auch durch Bargelddienste ins Ausland. Die Bank und der geschädigte Kunde können gegenüber dem Finanzagenten Schadensersatzansprüche zumindest aus § 823 Abs. 2 BGB geltend machen, da die Tätigkeit des Finanzagenten strafbar ist.589 Auf diese Ansprüche wird aber an dieser Stelle nicht weiter eingegangen.
15.3 Konsequenzen für die Praxis des Datenschutzes Die Vorschriften zum Datenschutz des TMG sind nur teilweise relevant für die Praxis des Datenschutzes in der Bank. Der Regelungsbereich der Abrechungsdaten ist nicht einschlägig, da die Banken für das Angebot ihrer Teledienste keine Entgelte erheben. Der wichtigste Anwendungsfall eines Telemediums für die Banken ist das Online-Banking. Beim Online-Banking liegt der Fokus allerdings auf dem Aspekt der Sicherheit und der Haftung bei Angriffen auf das OnlineBanking. Daneben sind insbesondere die Informationspflichten des TMG für die Banken von Bedeutung. Für ihre Informationsplattformen im Internet haben viele Banken darüber hinaus Internetgrundsätze veröffentlicht, in denen der Nutzer auf den Umgang mit seinen personenbezogenen Daten und z. B. die Art und Weise der Nutzung von Cookies hingewiesen wird.
589
U.a. AG Hamm, CR 2006, S. 70.
16 Aktuelle Themen
16.1 Die Haftung bei Verletzung des Bankgeheimnisses: das Verfahren Kirch gegen die Deutsche Bank Im Rahmen einer spektakulären Firmeninsolvenz hat die Verletzung des Bankgeheimnisses eine besondere Rolle gespielt. Daher wird an dieser Stelle ausnahmsweise auf einen Fall eingegangen, der keinen Privat- sondern einen Firmenkunden betrifft, da hieran die Haftung der Bank aufgrund des Bankgeheimnisses gut veranschaulicht werden kann. Eine Haftung aufgrund des Datenschutzes spielt hier keine Rolle, da keine personenbezogenen Daten betroffen sind. Im Zuge der Krise um die Kirch-Gruppe gab der damalige Vorstandsvorsitzende der Deutschen Bank, Herr Breuer, ein Interview anlässlich des Weltwirtschaftsforums in New York, das am 04.02.2002 im Bloomberg TV ausgestrahlt wurde. In diesem Interview wurde Herr Breuer zur Lage der Kirch-Gruppe u. a. gefragt: „Die Frage ist ja, ob man mehr ihm hilft, weiter zu machen.“ Die Antwort lautete: „Das halte ich für relativ fraglich. Was man darüber lesen und hören kann ist ja, dass der Finanzsektor nicht bereit ist, auf unveränderter Basis noch weitere Fremdoder gar Eigenmittel zur Verfügung zu stellen. Es können also nur Dritte sein, die sich gegebenenfalls für eine – wie Sie gesagt haben – Stützung interessieren.“ Herr Kirch hat daraufhin (aus eigenen und abgetretenen Recht590) sowohl die Deutsche Bank, als auch deren Vorstandsvorsitzenden wegen Verletzung des Bankgeheimnisses verklagt, da es im Anschluss an das Interview für die KirchGruppe u. a. nicht mehr möglich gewesen sei, zu den vorher existierenden Bedingungen weiteres Kapital aufzunehmen bzw. bestehende Kredite zu verlängern. Dies habe schließlich zur Insolvenz der Firmengruppe geführt. Der Feststellungsklage, in der lediglich die Verletzung des Bankgeheimnisses und die Wahrscheinlichkeit eines Schadenseintrittes, nicht aber die Höhe der Schadensersatzpflicht zu beurteilen war, ist durch die unterschiedlichen Gerichtsinstanzen gegangen und schließlich vom BGH entschieden worden.591 Der BGH führt aus, das Bankgeheimnis, das zur Verschwiegenheit über alle kundenbezogenen Tatsachen und Wertungen verpflichte, sei durch die Äußerung des Vorstandsvorsitzenden verletzt worden. Seine Aussage als Vorstandsvorsitzender der größten deutschen Bank, der Finanzsektor sei nicht bereit auf unverän590
Zu den gesellschaftsrechtlichen Einzelheiten vgl. BGH XI ZR 384/03 vom 24.01.2006.
591
BGH XI ZR 384/03 vom 24.01.2006; aufrufbar unter www.bundesgerichtshof.de.
226
16 Aktuelle Themen
derter Basis weitere Fremd- oder gar Eigenmittel zur Verfügung zu stellen, habe besonderes Gewicht gehabt. Dies ergebe sich einerseits aus dem Umstand, dass er selbst über Kredite der Deutschen Bank an die Kirch-Gruppe mit entscheiden konnte. Andererseits sei der Umstand, dass allein aufgrund seiner exponierten Stellung in der Kreditwirtschaft die Gefahr bestand, dass andere Kreditinstitute oder Geldgeber, weitere Kredite an den Kläger ohne weitere unvoreingenommene Prüfung ablehnten, zu berücksichtigen gewesen. Im Kern sagt der Vorstandsvorsitzende aus, der Kläger sei kreditunwürdig gewesen. Die Anspruchsgrundlage des Klägers gegenüber der Bank ist die vertragliche Anspruchsgrundlage gem. § 280 Abs. 1 BGB, die sich nach den üblichen zivilrechtlichen Haftungsvoraussetzungen richtet.592 Die Aussage des Vorstandsvorsitzenden ist der Bank gem. § 31 zuzurechnen, da die Bank auch für ihre Organe haftet. Die Anspruchsgrundlage des Klägers gegenüber dem Vorstandsvorsitzenden ist § 823 Abs.1 BGB. Der Vorstandsvorsitzende haftet also unmittelbar gegenüber dem Kläger.593 Ein vertraglicher Anspruch scheidet aus, da zwischen dem Kläger und dem Vorstandsvorsitzenden keine Vertragsbeziehung besteht. Die Rechtsverletzung erfolgt in ein sonstiges Recht gem. § 823 Abs. 1 in Form des eingerichteten und ausgeübten Gewerbebetriebes.594 Beim sonstigen Recht ist die Rechtswidrigkeit nicht indiziert, sondern ist aufgrund einer umfassenden Abwägungsentscheidung zu ermitteln. Die Rechtsverletzung muss zielgerichtet mithin betriebsbezogen sein. Erwähnenswert ist, dass sich der Vorstandsvorsitzende nicht auf sein Recht auf freie Meinungsäußerung berufen kann, da er insofern durch das vertragliche Bankgeheimnis gebunden ist. Der Klage Kirchs ist nicht im vollen Umfang stattgegeben worden, was insbesondere an den gesellschaftsrechtlichen Gegebenheiten des Falls liegt, auf die an dieser Stelle aber nicht weiter eingegangen werden soll. Der Kläger hat mittlerweile eine erste Leistungsklage vor dem Landgericht München in Höhe von 1,6 Milliarden Euro eingereicht.595 In der Leistungsklage muss das Gericht sowohl die Ursächlichkeit zwischen der Aussage des Vorstandsvorsitzenden und dem eingetretenen Schaden, als auch die genaue Schadenshöhe prüfen.
592
Bei einer Klage eines Privatkunden gegen die Bank wäre ebenso § 280 Abs. 1 BGB einschlägig.
593
Bei einer Verletzung des Bankgeheimnis durch einen normalen Bankangestellten gelten die Grundsätze der sog. Arbeitnehmerhaftung.
594
Bei einer Klage eines Privatkunden wäre das allgemeine Persönlichkeitsrecht einschlägig.
595
www.Handelsblatt.com vom 22.05.2007.
16.2 Abtretungsverbot von Forderungen aus Bankgeheimnis oder Datenschutz?
227
16.2 Abtretungsverbot von Forderungen aus Bankgeheimnis oder Datenschutz? Die Abtretung von Forderungen ist für Banken von jeher ein wichtiges Geschäft. Mit der Verbriefung von Forderungen in Form der Asset Backed Securities (ABS) hat sich die Bedeutung noch gesteigert. Das OLG Frankfurt hat mit einer Entscheidung im einstweiligen Rechtsschutz für erhebliche Irritationen gesorgt. In dieser Entscheidung führt das OLG aus, dem Bankgeheimnis und dem Datenschutz sei ein Abtretungsverbot von Forderungen zu entnehmen.596 In dieser Entscheidung wurde in unzutreffender Weise eine Analogie zwischen den gesetzlich geregelten Berufsgeheimnissen gem. § 203 StGB und dem Bankgeheimnis gezogen. Der Vorsitzende des Bankensenats des BGH veröffentlichte daraufhin einen grundlegenden Aufsatz über das Bankgeheimnis, in dem er die Entscheidung des OLG Frankfurt stark kritisierte.597 Der BGH korrigierte die Entscheidung des OLG Frankfurt und lehnte ein Abtretungsverbot sowohl aus dem Gesichtspunkt des Bankgeheimnisses, als auch dem Datenschutz ab.598 Die datenschutzrechtliche Argumentation des BGH ist allerdings nicht durchgängig überzeugend.
16.2.1 Keine Ableitung eines Abtretungsverbotes aus dem Bankgeheimnis Eine Forderungsabtretung gem. § 398 kann durch ein Abtretungsverbot gem. § 399, 2. Alt. ausgeschlossen werden. Eine solcher Ausschluss setzt allerdings eine Vereinbarung mit dem Schuldner und damit einen Vertrag zwischen Zedenten (der Bank) und Zessionar voraus.599 Ein vertragliches Abtretungsverbot ergibt sich nicht aus dem Bankgeheimnis, da das Bankgeheimnis als vertragliche Nebenpflicht aus dem Bankvertrag rein schuldrechtlichen Charakter hat und daher kein dingliches Abtretungsverbot bewirken kann, das die Unwirksamkeit der Abtretung bewirken würde.600 Ein gesetzliches Abtretungsverbot aus § 134 BGB, wonach der Verstoß gegen ein Verbotsgesetz das betroffene Rechtsgeschäft nichtig macht, kann auch nicht aus dem Bankgeheimnis abgeleitet werden, da – wiederum – das Bankgeheimnis rein vertraglichen und keinen gesetzlichen Charakter hat. Die Parallele, die das OLG Frankfurt mit den in § 203 StGB geregelten Berufsgeheimnisse von Ärzten
596
OLG Frankfurt, WM 2004, 1386.
597
Nobbe, WM 2005, 1537.
598
BGH XI ZR 195/05 vom 27.02.2007.
599
BGH XI ZR 195/05 vom 27.02.2007, 6.
600
BGH XI ZR 195/05 vom 27.02.2007, 7 ff.
228
16 Aktuelle Themen
und Rechtsanwälten zieht, ist insoweit unzutreffend. Auch eine analoge Anwendung dieser Vorschrift scheidet aus.601 Das Bankgeheimnis kann zwar mit der Auskunftspflicht des Zedenten (der Bank) gem. § 402 kollidieren. Wird das Bankgeheimnis dabei verletzt, entsteht eine vertragliche Schadensersatzpflicht der Bank aus § 280 Abs.1 i.V.m. § 241 Abs. 2 BGB. Die Wirksamkeit der Abtretung bleibt davon aber unberührt.
16.2.2 Kein Abtretungsverbot von Forderungen wegen Verstoßes gegen § 28 BDSG 16.2.2.1 Kein Verstoß gegen § 28 BDSG bei der Abtretung Not leidender Forderungen Aus dem Gesichtspunkt von Treu und Glauben gem. § 242 BGB ergibt der Grundsatz, dass eine Bank bei einem säumigen Schuldner, der seinen Vertragspflichten nicht nachkommt, ihrerseits nicht mehr vollumfänglich an das Bankgeheimnis gebunden ist.602 Die Bank kann zwecks Veräußerung der Forderung die dafür erforderlichen Daten ihres Kunden an Dritte übermitteln. Auch datenschutzrechtlich ist eine solche Übermittlung gem. § 28 Abs. 1 Nr. 2 BDSG gerechtfertigt, da die Bank ein wirtschaftliches Interesse hat, die Forderung zu veräußern. Ein überwiegendes Gegeninteresse des Kunden liegt grundsätzlich nicht vor, da der Kunde vertragsbrüchig war. Insofern ist die datenschutzrechtliche Wertung gem. § 28 Abs. 1 Nr. 2 BDSG gleich lautend mit der Wertung des Bankgeheimnisses. Die Bank verstößt bei der Abtretung einer Not leidenden Forderung nicht gegen das BDSG, ein gesetzliches Abtretungsverbot gem. § 134 BGB besteht also nicht. 16.2.2.2 Kein Abtretungsverbot gem. § 134 BGB bei Verstoß gegen § 28 BDSG Bei Abtretung einer intakten Forderung durch die Bank kommt ein gesetzliches Abtretungsverbot gem. § 134 BGB in Betracht, wenn die Bank gegen § 28 BDSG verstößt und diese Vorschrift ein Verbotsgesetz i.S.d. § 134 BGB ist. 1. Wenn die Bank eine intakte Forderung gegen einen Kunden abtritt und im Zuge dessen gem. § 402 BGB Kundendaten an den Erwerber der Forderung übermittelt, kann diese Datenübermittlung gem. § 28 BDSG gerechtfertigt sein. Die Bank hat ein wirtschaftliches Interesse daran, die intakte Forderung zu veräußern. Ein wirtschaftliches Interesse ist als legitimes Interesse gem. § 28 BDSG anerkannt. Der Kunde hat dagegen ein berechtigtes Interesse an der Geheimhaltung seiner Daten gegenüber Dritten. Dieses Interesse ergibt sich einerseits aus dem Bankgeheimnis, wodurch die Bank sich zur Geheimhaltung der Daten gegenüber Dritten verpflichtet. Auch da601
Nobbe, WM 2005, 1537 (1542), Bruchner/Krepold, Bankrechts-Handbuch I, § 39 Rn. 58 ff.
602
Cahn, WM 2004, 2041 (2046).
16.2 Abtretungsverbot von Forderungen aus Bankgeheimnis oder Datenschutz?
229
tenschutzrechtlich hat der Kunde ein berechtigtes Interesse an der Geheimhaltung seiner Daten durch die Bank gegenüber Dritten. Das Gegeninteresse des Kunden überwiegt hier das Interesse der Bank, insbesondere weil die Bank selbst sich vertraglich zur Geheimhaltung der Kundeninformationen verpflichtet hat. Die Bank verstößt also gegen § 28 Abs. 1 Nr. 2 BDSG. Als weitere Rechtsgrundlage kommt § 28 Abs. 3 Nr. 1 in Betracht. Dem wirtschaftlichen Interesse des Dritten (also dem Forderungserwerber) steht allerdings wiederum das Interesse des Bankkunden an der Geheimhaltung seiner Daten gegenüber. Daher ist eine Abtretung einer intakten Forderung durch die Bank, bei der Kundendaten eines Privatkunden an einen Dritten übermittelt werden, grundsätzlich nach dem Datenschutz nicht zulässig. 2. Damit sich aus dem Verstoß gegen § 28 Abs. 1 Nr. 2 BDSG ein Abtretungsverbot für die Bank herleitet, muss § 28 BDSG ein Verbotsgesetz i.S.d. § 134 BGB sein. Verbotsgesetze i.S.d. § 134 sind Vorschriften, die ein nach der Rechtsordnung grundsätzlich mögliches Rechtsgeschäft wegen ihres Inhaltes oder wegen der Modalitäten des Zustandekommens untersagen. Das Verbot muss sich dabei gerade gegen die Vornahme dieses bestimmten Rechtsgeschäftes richten.603 § 28 Abs. 1 Nr. 2 ermöglicht eine Datenweitergabe der verantwortlichen Stelle an einen Dritten, wenn die Interessen der verantwortlichen Stelle das Gegeninteresse des Betroffenen überwiegen. Überwiegt das Interesse des Betroffenen, ist die Datenweitergabe rechtswidrig und gem. § 4 Abs. 1 BDSG unzulässig. Handelt die verantwortliche Stelle vorsätzlich oder fahrlässig, begeht sie zudem eine Ordnungswidrigkeit gem. § 43 Abs. 2 Nr. 1, da durch die unzulässige Übermittlung der personenbezogenen Daten gleichfalls nicht allgemein zulässige personenbezogene Daten rechtswidrig verarbeitet werden.604 Verstößt ein Zedent, indem er im Rahmen seiner Auskunftspflicht gem. § 402 BGB personenbezogene Daten an den Zessionar übermittelt, gegen § 28 Abs. 1 Nr. 2 BDSG, so ist diese Auskunft also wegen ihres Inhaltes datenschutzrechtlich untersagt. Damit § 28 Abs. 1 Nr. 2 allerdings als Verbotsgesetz gem. § 134 eingeordnet werden kann, muss sich § 28 Abs. 1 Nr. 2 gerade gegen die Abtretung einer Forderung gegen einen Privatkunden durch eine Bank an einen Dritten richten. § 28 Abs. 1 Nr. 2 richtet sich gegen jede Datenübermittlung, die zwar im Interesse der verantwortlichen Stelle nicht aber im überwiegenden Gegeninteresse des Betroffenen ist. Das diese Vorschrift sich gerade gegen die Informationspflichten gem. § 402 BGB des Zedenten an einen Zessionar 603
Palandt, BGB, § 134 Rn. 1.
604
Vgl. die Legaldefinition der Verarbeitung gem. § 3 Abs. 4 BDSG.
230
16 Aktuelle Themen
richtet, ist nicht erkennbar. Insbesondere gilt diese Wertung in Anbetracht der abwicklungstechnischen Möglichkeiten, die eine Abtretung möglich machen, ohne gegen das Bankgeheimnis oder gegen den Datenschutz zu verstoßen. Durch Einschaltung eines Datentreuhänders oder durch eine Vertragsgestaltung, die die abtretende Bank weiterhin den direkten Kontakt mit dem Kunden organisatorisch überlässt, kann eine Abtretung erfolgen, ohne dass Daten des Kunden an Dritte übermittelt werden müssen.605 Gegen eine Einstufung als Verbotsgesetz spricht auch die fehlende Bestimmtheit des § 28 BDSG. Um zu dem Ergebnis zu gelangen, dass eine Datenverarbeitung gem. § 28 zulässig oder unzulässig ist, muss eine umfassende Abwägungsentscheidung getroffen werden, deren Ergebnis nicht von vornherein feststeht. Für den Rechtsanwender wäre nicht hinreichend klar, wann gegen dieses Gesetz verstoßen würde. Insofern verstieße die Einstufung des § 28 BDSG als Verbotsgesetz auch gegen den Bestimmtheitsgrundsatz.606 § 28 Abs. 1 Nr. 2 ist daher nicht als Verbotsgesetz i.S.d. § 134 einzustufen. Ein gesetzliches Abtretungsverbot greift bei der Abtretung von intakten Forderungen gegen Privatkunden durch die Bank nicht. Die Abtretung ist nicht nichtig, auch wenn ein Verstoß gegen den Datenschutz vorläge. Aus diesem Gesichtspunkt könnten – wie bei einem Verstoß gegen das Bankgeheimnis – auch Schadensersatzansprüche des Kunden gegen die Bank entstehen. 16.2.2.3 Die Anwendungskonkurrenz zwischen Datenschutz und Bankgeheimnis Weder aus dem Bankgeheimnis noch aus dem Datenschutz ergibt sich ein Abtretungsverbot von Forderungen. Somit erübrigt sich die Diskussion über das Verhältnis und die Anwendungskonkurrenz zwischen Bankgeheimnis und Datenschutz in dieser Hinsicht. Dennoch ist die Prüfung, ob sich aus den Datenschutzbestimmungen ein Abtretungsverbot ergibt, erforderlich. Wegen der unterschiedlichen Rechtsgrundlage des Bankgeheimnisses, das auf dem Vertrag zwischen Kunden und Bank basiert, und dem Datenschutz, der gesetzlich verankert ist, könnte sich hier ein unterschiedliches Prüfungsergebnis und damit ein Anwendungsvorrang des Datenschutzes ergeben.607
16.3 Das Kreditscoring Die Ermittlung der Ausfallwahrscheinlichkeit des Kredites eines Kunden hat eine neue Bedeutung erhalten, nachdem die Notenbankgouverneure und Leiter der Aufsichtsbehörden der G10-Staaten sich u. a. auf neue Richtlinien für die Eigenkapi605
Cahn, WM 2004, 2041 (2046).
606
Ehmann in Simitis, BDSG, § 43 Rn. 21 ff.
607
Insoweit unzutreffend Nobbe, WM 2005, 1537 (1544).
16.3 Das Kreditscoring
231
talausstattung der Banken geeinigt haben. Dieser Kompromiss ist als „Basel II“Abkommen bekannt geworden.608 Der Inhalt dieser Übereinkunft ist mittlerweile in europäisches und deutsches Recht umgesetzt worden. Relevant für das Kreditscoring ist insbesondere § 10 KWG. Inhaltlich ermöglicht Basel II eine stärkere Ausrichtung der Eigenkapitalanforderungen der Banken am eingegangen Risiko, wobei sich das Risiko in Kreditrisiko, Marktpreisrisiko und operationelles Risiko untergliedert. Konkret für das Privatkundensegment bedeutet dies für die Banken, dass sie Privatkundenkredite mit weniger Eigenkapital unterlegen müssen, wenn sie von der BaFin anerkannte Kreditscoringmethoden anwenden. Die Datenmodelle sind beispielsweise so aufgebaut, dass sie persönliche Angaben, Kontoverhalten, Risikoindikatoren und finanzielle Leistungsfähigkeit des Kreditnehmers bewerten. Das Kontoverhalten lässt bei einer längeren Kundenverbindung genau so gut Rückschlüsse auf die Ausfallwahrscheinlichkeit eines Kredites zu wie das Verhältnis der finanziellen Leistungsfähigkeit des Kreditnehmers zum Kreditvolumen. Auch die Aufnahme von Risikoindikatoren – wie z. B. eine in der Vergangenheit liegende Zahlungsunfähigkeit – ist für Ermittlung der Ausfallwahrscheinlichkeit unmittelbar einleuchtend. Die datenschutzrechtliche Diskussion wird vor allem über die persönlichen Angaben des Kreditnehmers geführt. Die Methode des Kreditscorings beruht auf einem mathematisch-statistischen Verfahren, das die Datenkategorien aus dem Datenmodell jeweils mit einer bestimmten Wertigkeit in Relation zu den anderen Kategorien belegt und als Ergebnis eine Zahl auf einer bestimmten Zahlenskala ermittelt, in der das Ausfallrisiko für den Kreditnehmer in einem Wert zusammengefasst ist. Die Kritik am Scoringmodell geht in zwei Richtungen. Zum einen wird hinsichtlich der persönlichen Angaben argumentiert, der Kreditnehmer werde z. B. bei der Bewertung seines Wohnumfeldes einer bestimmten Risikogruppe zugeordnet, ohne dass der Kreditnehmer für das Verhalten der übrigen Gruppenmitglieder verantwortlich sei. Der Kreditnehmer könne nur Einfluss nehmen auf sein eigenes Verhalten, bei der Zuordnung zu einem bestimmten Nachbarschaftskreis werde das Verhalten seiner Nachbarn ungeprüft auch auf das Verhalten des Kreditnehmers selbst übertragen. Im extremen Fall sei eine solche Methode diskriminierend.609 Das Gegenargument lautet, dass rein statistisch gesehen durchaus aus dem Wohnumfeld eine bestimmte Ausfallwahrscheinlichkeit abgeleitet werden könne. Zudem hat das Wohnumfeld i.d.R. keine ausschlaggebende Bedeutung im Rahmen eines Kreditscoring.610 Andererseits wird an der Anwendung der Scoringmodelle kritisiert, die Modelle seien für den Kunden nicht transparent. Der Kunde wisse nicht, wie die Kreditentscheidung zustande gekommen sei und könne nicht überprüfen, ob der Bank dabei Fehler unterlaufen seien bzw. auf welche Faktoren die Kreditentscheidung zurückzuführen sei. Die Banken wiederum veröffentlichen ihre Scoringmodelle 608 609 610
U.a. www.BaFin.de. Weichert, Gutachten des ULD, 51 ff.; abrufbar unter www.bmelv.de. Abel, RDV 2006, 108 (114).
232
16 Aktuelle Themen
i.d.R. nicht, da Sie diese Modelle als Geschäftsgeheimnis ansehen. Mit der Veröffentlichung der Modelle seien die Banken, die keine eigenen Modelle entwickelt hätten, in der Lage, die bereits bestehenden Modelle einfach zu kopieren, ohne eigene Investitionen zu tätigen. Datenschutzrechtlich ist das Kreditscoring nach § 6a, § 28 Abs. 1 Nr. 2 BDSG und § 10 KWG zu beurteilen. Danach ist das Kreditscoring keine automatische Einzelentscheidung gem. § 6a BDSG, wenn die Entscheidung, die auf automatisiertem Wege getroffen wird, später von einem Kreditsachbearbeiter noch einmal überprüft wird. Beruht die Kreditentscheidung ausschließlich auf einer automatisierten Entscheidung und fällt diese für den Kunden positiv aus, ist auch diese Entscheidung gem. § 6a Abs. 2 Nr. 1 zulässig. Fällt die Entscheidung für den Kunden dagegen negativ aus, besteht für die Bank gem. § 6a Abs. 2 Nr. 2 die Pflicht, den Betroffenen darauf hinzuweisen, dass die Entscheidung aufgrund eines automatisierten Verfahrens getroffen wurde. Darüber hinaus muss die Bank den Kunden, die Möglichkeit einräumen, seinen Standpunkt dazulegen, um dann erneut eine Entscheidung über die Kreditvergabe zu treffen. Diese zweite Entscheidung darf dann nicht automatisiert erfolgen.611 Mit dem neuen § 10 KWG ist darüber hinaus eine Rechtsgrundlage für das Scoring geschaffen worden. Diese Vorschrift bezieht sich jedoch lediglich auf das bankinterne Scoring nicht aber auf das externe Scoring gegenüber einem Kunden.612 Die aktuelle Haltung der Datenschutzaufsichtsbehörden ist, die Datenverarbeitung beim Scoring auf das überwiegende Interesse der Bank gem. § 28 Abs. 1 Nr. 2 BDSG der Banken zu stützen und das Gegeninteresse des Betroffenen grundsätzlich als nicht überwiegend anzusehen.613 Dabei soll § 10 KWG hinsichtlich dreier Aspekte analog angewendet werden: 1. Bei den angewandten Scoringmodellen muss es sich um wissenschaftlich anerkannte mathematisch-statistische Verfahren handeln. 2. Die in § 10 KWG genannten Datenkategorien dürfen auch für das externe Scoring verwendet werden: a) Einkommens-, Vermögens- und Beschäftigungsverhältnisse sowie die sonstigen wirtschaftlichen Verhältnisse, insbesondere Art, Umfang und Wirtschaftlichkeit der Geschäftstätigkeit des Betroffenen; b) Zahlungsverhalten und Vertragstreue des Betroffenen; c) vollstreckbare Forderungen sowie Zwangsvollstreckungsverfahren und -maßnahmen gegen den Betroffenen; d) Insolvenzverfahren über das Vermögen des Betroffenen, sofern diese eröffnet worden sind oder die Eröffnung beantragt worden ist. 611
Abel, RDV 2006, 108 (112); Simitis in Simitis, BDSG, § 6a Rn. 42 ff.
612
BfDI, 21. Tätigkeitsbericht 2005-2006, S. 106 f., unter www.BfDI.Bund.de.
613
Düsseldorfer Kreis, Beschluss vom 19./20. 04. 2007; unter www.BfDI.Bund.de.
16.4 Das Kontoabrufverfahren für Finanz- und Sozialbehörden
233
3. Besondere Arten personenbezogener Daten gem. § 3 Abs. 9 BDSG dürfen nicht in das Scoringverfahren einbezogen werden.614 Auch nach Ansicht der Datenschutzaufsichtsbehörden sind die Scoringmodelle für die Kunden nicht transparent genug. Die Datenschutzaufsichtsbehörden fordern von den Banken insbesondere, die vier wichtigsten Merkmale gegenüber dem Betroffenen bekannt zu geben, die den Scorewert negativ beeinflusst haben.615 Eine solche Forderung lässt sich jedoch weder aus § 28 Abs. 1 Nr. 2 noch aus § 6a BDSG ableiten.616 Fraglich scheint zudem, ob das Informationsbedürfnis des Betroffenen so hoch ist, dass er von vornherein auf diese Merkmale hingewiesen werden muss. Im Falle einer ablehnenden Kreditentscheidung hat der Betroffene ohnehin gem. § 6a das Recht, seinen Standpunkt vertreten zu können und die Bank zu einer erneuten – nicht automatisierten – Entscheidung zu veranlassen. Mittlerweile zeichnet sich ab, dass der Gesetzgeber selbst die Zulässigkeitsvoraussetzungen für das Kreditscoring gesondert regelt, indem u. a. § 6a und § 34 des Bundesdatenschutzgesetzes geändert werden.617
16.4 Das Kontoabrufverfahren für Finanz- und Sozialbehörden gem. § 93 Abs. 7 und 8 § 93b AO i.V.m. 24c KWG Das Kontoabrufverfahren gem. § 93 Abs. 7 und 8 und 93b Abgabenordnung (AO) gewährt den Finanzbehörden und weiteren Behörden – insbesondere Sozialbehörden – Zugriff auf die Kontostammdaten aller Kunden deutscher Kreditinstitute. Das Kontoabrufverfahren wurde durch das Gesetz zur Förderung der Steuerehrlichkeit im Dezember 2003 neu eingeführt. Durch das Gesetz sollten Vollzugsdefizite im Steuerrecht abgebaut werden.618 Zudem sollte die Erhebung von Sozialabgaben gesichert und der unberechtigte Bezug von Sozialleistungen erschwert werden. Das Kontoabrufverfahren für Finanzbehörden nahm dabei Bezug auf ein anderes Kontoabrufverfahren, das dem BaFin gem. § 24c KWG zur Erfüllung bestimmter aufsichtrechtlicher Aufgaben einen automatisierten Zugriff auf die Kontostammdaten der Kunden deutscher Kreditinstitute gewährt. Zum Zweck des Aufspürens von Gewinnen aus schweren Straftaten sind zudem Behörden und Gerichte, die für die Strafverfolgung und die Strafverfahren zuständig sind, be614
Vgl. Beschluss des Düsseldorfer Kreises vom 19./20. 04. 2007 unter www.BfDI.Bund.de.
615
Vgl. Beschluss des. Düsseldorfer Kreises vom 19./20. 04. 2007 unter www.BfDI. Bund.de.
616
Sehr überzeugend Abel, RDV 2006, 108 (111 f. und 112 f.).
617
BfDI, 21. Tätigkeitsbericht 2005-2006, 106 (108), unter www.BfDI.Bund.de.
618
BTDrucks 15/1309, 1.
234
16 Aktuelle Themen
rechtigt, über die BaFin auf diese Daten zuzugreifen. Dieser Zugriff wird zudem im Rahmen der internationalen Rechtshilfe in Strafsachen gewährt. Die personenbezogene Daten, die im Zugriff dieser beiden Verfahren stehen, sind die gem. § 24c Abs. 1 Nr. 1 und 2 KWG die sog. Kontostammdaten: Kontound Depotnummer (inkl. Tag der Errichtung und der Auflösung), Name und Geburtstag des Inhabers bzw. des Verfügungsberechtigten (sowie Name und Anschrift eines abweichend wirtschaftlich Berechtigten). Ein Zugriff auf Kontosalden oder Kontobewegungen ist dabei nicht möglich. Technisch sind beide Verfahren so ausgestaltet, dass die Banken die Daten im Wege eines sog. Push-Verfahrens zur Verfügung stellen und aktualisieren. Der Zugriff erfolgt im Rahmen des Verfahrens gem. § 24c KWG über das BaFin und im Rahmen des Verfahrens gem. § 93 Abs. 7 und 8 über das Bundeszentralamt für Steuern (BZSt) im Wege eines automatisierten Abrufverfahrens. Dabei erhalten die Banken keine Kenntnis darüber, auf welche Kunden zugegriffen wird. Gegen das Kontoabrufverfahren für Finanzbehörden sind mehrere Verfassungsbeschwerden eingelegt worden. Im Eilverfahren hat das Bundesverfassungsgericht (BVerfG) die Einführung des Kontenabrufverfahrens nicht gestoppt. Das BVerfG sah die Nachteile für die Bankkunden und die Banken nicht als so gravierend an, um das Abrufverfahren bereits vor dem gerichtlichen Hauptsacheverfahren zu untersagen. Im Hauptsacheverfahren waren die Verfassungsbeschwerden zum Teil erfolgreich, allerdings nur im Hinblick auf die Zugriffsmöglichkeit der Sozialbehörden. Hier hat das BVerfG festgestellt, dass die einzelnen zugriffsberechtigten Sozialbehörden und die korrespondierende Ermächtigungsgrundlage explizit in § 93 Abs. 8 zu nennen sind. Die aktuelle Formulierung, die als Anknüpfungspunkt „Begriffe des Einkommenssteuergesetzes“ nennt, sei zu unbestimmt. Das Gericht hat dem Gesetzgeber eine Frist bis zum 31.05.2008 gesetzt, um diesen Mangel zu beheben. In der Zwischenzeit bleibt das Verfahren in Kraft, da ein entsprechender Ausführungserlass der Finanzministeriums die mangelhafte Rechtsgrundlage ausreichend konkretisiert. Im Übrigen hat das BVerfG die Verfassungsbeschwerden, darunter auch eine Beschwerde einer Bank, abgelehnt. Die Begründung lautet dabei im Wesentlichen wie folgt: a) Das Verfahren gem. § 24c KWG sei verfassungsgemäß, da sowohl die zum Zugriff berechtigten Behörden, als auch die Zwecke und Voraussetzungen, unter denen eine Zugriff auf die in Frage stehenden Daten erfolgen kann, ausreichend definiert sei. Die Zugriffsvoraussetzungen zum Zweck der Strafverfolgung und der Strafverfahren ergäben sich aus den entsprechenden Verfahrensordnungen und die Voraussetzungen für die internationale Rechtshilfe seien hinreichend präzise. b) Im Hinblick auf das Verfahren gem. § 93 Abs. 7 und 8 und 93b stellt das BVerfG fest, dass die Eingriffe in das Recht auf informationelle Selbstbestimmung in Abwägung mit den durch das Kontoabrufverfahren geschützten Gemeinwohlbelangen insgesamt verhältnismäßig seien.
16.4 Das Kontoabrufverfahren für Finanz- und Sozialbehörden
235
Insbesondere seien die tatbestandlichen Voraussetzungen für den Eingriff hinreichend präzise, da nur bei einem begründeten Verdacht auf Unregelmäßigkeiten, der auf konkreten Anhaltspunkten oder auf allgemeiner Erfahrung beruhe, eine Datenabfrage zulässig sei. Diese Systematik knüpfe zudem an die Rechtsprechung zum Steuerrecht an, die „Ermittlungen in Blaue hinein“ untersage. Darüber hinaus seien die Kontostammdaten Daten, die keine besondere Persönlichkeitsrelevanz aufwiesen. Dagegen würden das Abrufverfahren Gemeinwohlbelange von erheblicher Bedeutung schützten, nämlich u. a. die steuerliche Belastungsgleichheit, die Sicherung der Erhebung von Sozialabgaben und die Bekämpfung des Missbrauchs von Sozialleistungen. Zwar steigere die Heimlichkeit des Zugriffs gegenüber dem Betroffenen die Eingriffsintensität. Sofern allerdings weitere Ermittlungen gegenüber dem Betroffenen aufgrund der Erkenntnisse aus dem Kontoabrufverfahren eingeleitet würden, müssten diese wiederum nach den entsprechenden Verfahrensordnungen (z. B. dem Steuerstrafverfahren gem. § 385 AO) legitimiert werden. Das Kontoabrufverfahren u. a. für Finanzbehörden gem. § 93. Abs. 7 und 8, § 93b AO i.V.m. § 24c KWG ist ein gutes Beispiel für eine Datenverarbeitung aufgrund eines Gesetzes und die Funktionsweise des demokratischen Rechtsstaates in dieser Hinsicht. Sowohl nach dem Bankgeheimnis, als auch nach dem Datenschutz ist eine Datenübermittlung legitimiert, die auf gesetzlicher Grundlage basiert. Der Gesetzgeber kann dadurch den Inhalt und den Schutzbereich von Bankgeheimnis und Datenschutz nach seinem Willen gestalten und – wie in diesem Fall – einengen. Dieser Gestaltungsbereich ist nur durch die Verfassung und konkret das Recht auf informationelle Selbstbestimmung begrenzt.619 Deren Reichweite wird wiederum durch das BVerfG im Einzelfall konkretisiert. Konkret auf das Kontoabrufverfahren bezogen, bleibt festzuhalten, dass das Urteil des BVerfG gut und nachvollziehbar begründet ist. In der Praxis der Abrufverfahrens durch die Finanzbehörden sind allerdings erhebliche Mängel festgestellt worden.620 85 % der Kontenabrufersuchen fielen auf den Vollstreckungsbereich und 13 % auf die Betriebsprüfung. Nur 2 % der Ersuchen betrafen die Steuerveranlagung, die das eigentliche Ziel des Gesetzgebers war.621 Eine vorgeschaltete Erforderlichkeitsprüfung wurde durchgängig nicht dokumentiert.622 Eine nachträglich Information an den Betroffenen war i.d.R. nicht erkennbar.623 Welche Auswirkungen das eigentlich geplante Verfahren in der Praxis hat, ist aber noch nicht abzusehen, da das Verfahren im Moment noch auf dem herkömmlichen Postweg zwischen Finanzbehörden und dem Bundeszentralamt für Steuern (BZSt) erfolgt und zwar mit Antwortzeiten zwischen einer und vier Wochen.624 619 620
621 622 623 624
Gurlit, RDV 2006, 43 (44). Hessischer Landesdatenschutzbeauftragter, Jahresbericht 2005/2006, 143 ff.; www.datenschutz.hessen.de. HLDSB, Jahresbericht 2005/2006, 151; www.datenschutz.hessen.de. HLDSB, Jahresbericht 2005/2006, 152; www.datenschutz.hessen.de. HLDSB, Jahresbericht 2005/2006, 154; www.datenschutz.hessen.de. HLDSB, Jahresbericht 2005/2006, 146 und 150; www.datenschutz.hessen.de.
236
16 Aktuelle Themen
16.5 Zugriff der Staatsanwaltschaft Halle auf Daten von Kreditkarteninhabern („Aktion Mikado“) Ein spektakulärer Zugriff auf die Daten der deutschen Kreditkarteninhaber erfolgte durch die Staatsanwaltschaft Halle. Die Staatsanwaltschaft Halle wandte sich in einem Schreiben an die deutschen Banken bzw. deren Kreditkartenprovider und forderte diese Unternehmen auf, innerhalb ihrer Datenbestände nach möglichen Personen zu suchen, die kinderpornographisches Material von einem Unternehmen im Internet bezogen haben. Dabei gab die Staatsanwaltschaft Halle fünf Suchkriterien vor, um die verdächtigen Personen zu ermitteln: den Zahlungszeitraum, die Empfängerfirma, die Händlerbank, die Merchant-ID und einen bestimmten Geldbetrag. Im Rahmen dieser Ermittlungen wurden die Daten aller deutschen Kreditkarteninhaber überprüft. 322 Personen wurden an die Staatsanwaltschaft Halle gemeldet. Die Aktion wurde sowohl in der allgemeinen Öffentlichkeit als auch in der Datenschutz-Szene ausführlich diskutiert. 25 Personen legten schließlich gegen die Maßnahme der Staatsanwaltschaft Halle Beschwerde beim Amtsgericht ein. Das Amtgericht Halle lehnte die Anträge als unbegründet ab.625 Die Staatsanwaltschaft stützte ihre Maßnahme auf § 161a StPO und zwar in der Variante der sog. Abwendungsauskunft. § 161a Abs. 1 Satz 1 besagt u. a., dass Zeugen auf Ladung der Staatsanwaltschaft zu erscheinen und zur Sache auszusagen haben. Die Staatsanwaltschaft verzichtete jedoch auf eine Zeugenvernehmung für den Fall, dass die Banken bzw. die Kreditkartenprovider die gewünschte Auskünfte erteilen. Eine Auskunftspflicht besteht gem. § 161a nur für öffentlichrechtliche Banken, private Banken sind nicht zur Auskunft verpflichtet aber gegenüber ihren Kunden berechtigt, ohne dass dieser Auskunft das Bankgeheimnis entgegen stehen würde. § 161a wird nach seiner Einführung 1999 als eine Generalklausel für unterschiedliche Arten von Ermittlungen angesehen. Diskutiert wurde zunächst, ob die angeordnete Maßnahme eine Rasterfahndung gem. § 93a StPO sei, die nur aufgrund einer richterlichen Anordnung durchgeführt werden darf. Eine Rasterfahndung ist eine besondere Fahndungsmethode, die historisch Ende der 1970er gegen die sog. Rote Armee Fraktion eingesetzt wurde. Sie liegt vor, wenn personenbezogene Daten von mehreren öffentlichen oder privaten Stellen der Polizei übermittelt werden, um einen automatisierten Abgleich (Rasterung) mit anderen Daten vorzunehmen. Dadurch soll eine Schnittmenge von Personen ermittelt werden, auf welche bestimmte, vorab festgelegte und für die weiteren Ermittlungen als bedeutsam angesehene Merkmale zutreffen.626 Eine Rasterfahndung lag in der Maßnahme der StA Halle nicht vor, da jeweils nur eine einzige Datenquelle mit von vornherein feststehenden Kriterien für die Ermittlungen genutzt wurde. Darüber hinaus waren keine weiteren Ermittlungs-
625
Schnabel, DuD 2007, 426.
626
BVerfG Urt. v. 04.04.2006, 1 BvR 518/02.
16.6 Zugriff auf den internationalen Zahlungsverkehr (SWIFT)
237
schritte zur Identifizierung der verdächtigen Personen notwendig. Eine richterliche Anordnung war also nicht erforderlich. Zudem war der erforderliche Anfangsverdacht (gem. § 152 Abs. 2 StPO) gegeben, da unter den Nutzern der in Frage stehenden Internetseite, auf der kinderpornographisches Material gegen Zahlung mittels Kreditkarte angeboten wurde, nach aller Wahrscheinlichkeit und nach kriminalistischer Erfahrung sich auch Inhaber deutscher Kreditkarten befanden. Das Amtsgericht weist darauf hin, dass ein schmaler Grad zwischen Anfangsverdacht und Generalverdacht bestehe – auch wenn die Maßnahme der StA Halle innerhalb des eingeschränkten Prüfungsmaßstabes, derer eine Entscheidung der StA durch ein Gericht unterliege, nicht zu beanstanden sei.627 Zuletzt gibt das Gericht einen deutlichen rechtspolitischen Hinweis an den Gesetzgeber, ob die juristisch nicht zu beanstandende Maßnahme in diesem Ausmaß unter die gesetzgeberische Intention des § 161a StPO falle, oder ob nicht eine besondere Rechtsgrundlage für diese Art des Eingriffs geschaffen werden müsse.628 Die Entscheidung des AG Halle wurde vom LG Halle bestätigt. Der Klägervertreter hat angekündigt, nunmehr eine Verfassungsbeschwerde einzureichen.629
16.6 Zugriff auf den internationalen Zahlungsverkehr (SWIFT) durch US-Behörden SWIFT ist eine gemeinnützige Genossenschaft nach belgischem Recht, die weltweit für Banken den internationalen Zahlungsverkehr abwickelt. Anteilseigner sind die international tätigen Banken. SWIFT stellt die IT-Infrastruktur zur Verfügung, definiert die Formate und Mindestangaben, die für bestimmte Zahlungsarten notwendig sind und speichert die Überweisungen, um bei Unstimmigkeiten eine Clearingfunktion für die beteiligten Banken zu übernehmen. In Deutschland werden zudem Eilüberweisungen über SWIFT abgewickelt.630 SWIFT betreibt ein Rechenzentrum in Europa und ein zweites Rechenzentrum in den USA. In den beiden Rechenzentren werden die Datensätze des jeweils anderen Zentrums aus Sicherheitsgründen vollständig gespiegelt. Im Juli 2006 berichtete die New York Times, dass US-Behörden seit dem Terroranschlag auf das New York Trade Center am 11.09.2001 zum Zweck der Terrorabwehr auf das Rechenzentrum von SWIFT in den USA Zugriff genommen haben. Die FTC (Federal Trade Commission) hat mit Hilfe einer gerichtlichen Verfügung SWIFT aufgefordert, bestimmte Datensätze zur Verfügung zu stellen. 627
AG Halle 395 GS 34/07 vom 10.01.2007.
628
AG Halle 395 GS 34/07 vom 10.01.2007.
629
http://www.lawblog.de/index.php/archives/2007/06/03/verfassungsbeschwerde-gegenmikado/
630
SWIFT, unter www.SWIFT.com.
238
16 Aktuelle Themen
Dem hat SWIFT Folge geleistet. SWIFT betonte, dass die FTC nur einen Zugriff auf eine begrenzte Anzahl von Datensätzen erhalten habe. Diese seien nur auf Anforderung der FTC von SWIFT übermittelt worden, ein Direktzugriff der FTC habe nicht bestanden. Die Zugriffe seien sowohl von externen Auditoren wie von SWIFT selbst überwacht worden und beträfen nur Datensätze, die für die Terrorabwehr relevant seien.631 Die Banken waren durch SWIFT nicht über den Zugriff informiert worden. In der allgemeinen Öffentlichkeit und in der Datenschutzszene ist eine heftige Diskussion über diese Zugriffe geführt worden. Kern der Kritik von Datenschützern war insbesondere der Zugriff von US-Behörden auch auf innereuropäische Überweisungen und innerdeutsche Eilüberweisungen. Nach formaler datenschutzrechtlicher Bewertung ist SWIFT ein Auftragsdatenverarbeiter der jeweiligen Bank.632 Damit wäre SWIFT gegenüber der jeweiligen Bank streng weisungsgebunden. De facto ist SWIFT der einzige Anbieter für die Abwicklung des internationalen Zahlungsverkehrs. Die Banken, die internationalen Zahlungsverkehr betreiben, sind auf SWIFT angewiesen und haben nur Einflussmöglichkeiten über die genossenschaftliche Struktur von SWIFT. Für die Banken, die internationalen Zahlungsverkehr betreiben, ist es wirtschaftlich unmöglich, den internationalen Zahlungsverkehr einzustellen, da sie sich der Gefahr der Zahlungsunfähigkeit aussetzen würden. Auch die Kunden, die auf internationalen Zahlungsverkehr angewiesen sind, haben faktisch keine Wahl als ihre Zahlungsaufträge über SWIFT abzuwickeln zu lassen. Sind sie mit der Teilnahme ihrer Bank an dem Zahlungsverkehr mit Hilfe von SWIFT unzufrieden, bleibt ihnen nur ein Wechsel zu einer Bank, die ihrerseits internationalen Zahlungsverkehr mittels SWIFT abwickelt. Nach europäischem Datenschutzrecht lag keine gültige Rechtsgrundlage vor, die die Übermittlung von innereuropäischen Überweisungsdaten an die US-Behörden rechtfertigen könnte.633 Darüber hinaus sah sich SWIFT nicht in der Lage, sich der gerichtlichen Verfügung der FTC, die den Zugriff auf die physisch in den USA gelegenen Datensätze anordnete, zu widersetzen. SWIFT hat lange Zeit eine Anpassung der IT-Infrastruktur als zu teuer und als unsachgemäße Lösung abgelehnt. Erst mit der Ernennung eines neuen CEO im April 2007 hat SWIFT eine Kehrtwende eingeleitet und die Errichtung eines zweiten Rechenzentrums in Europa nach einer Übergangszeit von drei bis fünf Jahren angekündigt.634 Mit der Umsetzung dieser Maßnahme sind auch die rechtlichen Probleme gelöst. 631
SWIFT, Stellungnahme vom 20.07.2007, unter www.SWIFT.com.
632
ULD, Gutachten zur „Datenweitergabe an SWIFT“, S.2.
633
Zscherpe, MMR 12/2006, XI.
634
U.a. Börsen Zeitung, 26.04.2007.
16.6 Zugriff auf den internationalen Zahlungsverkehr (SWIFT)
239
Für die Zwischenzeit haben sich die Datenschutzaufsichtsbehörden und die Banken darauf verständigt, die Kunden auf den weiterhin bestehenden Zugriff der FTC auf die Zahlungsverkehrsdaten angemessen zu informieren.635
635
Beschluss des Düsseldorfer Kreises vom 8./9.11. in Bremen.
17 Bewertung und Ausblick
Die Grundidee dieser Darstellung über Bankgeheimnis und Datenschutz ist der Entwurf eines zusammenfassenden Überblicks über beide Säulen, die die Praxis des Datenschutzes in der Bank im Hinblick auf das Privatkundensegment prägen. Zwar werden sowohl in der datenschutzrechtlichen, als auch in der bankrechtlichen Literatur punktuell Probleme des Zusammenwirkens von Bankgeheimnis und Datenschutz dargestellt. Dies zeigt insbesondere die rege Diskussion um ein vermeintliches Abtretungsverbot von Forderungen aus Bankgeheimnis und Datenschutz. Eine systematische Gesamtdarstellung beider Bereiche wurde aber – soweit ersichtlich – noch nicht unternommen. Inhaltlich ergeben sich eine Reihe von Gemeinsamkeiten von Bankgeheimnis und Datenschutz. Insbesondere die Datenverarbeitung aufgrund eines Gesetzes stimmt für beide Bereiche weitgehend überein. Die Datenverarbeitung aufgrund einer Einwilligung ist stärker von der engeren Regelung des Datenschutzes geprägt, soweit Bankgeheimnis und Datenschutz gleichzeitig eine Einwilligung als Grundlage der Datenverarbeitung erfordern. Die feinen Unterschiede und einzelnen Nuancen beider Säulen des Datenschutzes in der Bank werden vor allem bei der Datenverarbeitung aufgrund einer Interessenabwägung deutlich. § 28 BDSG erfährt bei gleichzeitiger Anwendung des Bankgeheimnisses spürbare Einschränkungen, die sich unmittelbar auf die Arbeit des Datenschutzbeauftragten einer Bank auswirken. Mit der Auftragsdatenverarbeitung kann andererseits ein Rechtsinstitut des Datenschutzes auf den Bereich des Bankgeheimnisses übertragen werden. Im Hinblick auf den Datenschutz gem. TMG zeigt sich deutlich, dass sich die wirtschaftliche Tätigkeit der Banken von den typischen Internetunternehmen unterscheidet. Der Hauptanwendungsfall des TMG für die Banken ist das OnlineBanking. Das Online-Banking ist für die Banken neben den klassischen Filialen zumeist ein zusätzlicher Vertriebs- und Servicekanal für ihre Kunden. Für das Online-Banking werden keine Gebühren erhoben, so dass z. B. der Regelungsbereich des TMG in Hinblick auf die Abrechungsdaten keine Anwendung findet. Datenschutzrechtlich unproblematisch ist die Möglichkeit des Kunden, mittels Online-Banking auf seine eigenen Daten zuzugreifen. Das Kernthema bildet im Moment die Haftungsfrage im Hinblick auf die Angriffe auf das Online-Banking. Dabei stehen allerdings die zivilrechtlichen Ansprüche im Vordergrund und nicht die Angemessenheit der technischen und organisatorischen Maßnahmen gem. TMG.
242
17 Bewertung und Ausblick
Bankgeheimnis und Datenschutz sind in den vergangenen Jahren durch die gesetzliche Einführung des Kontoabrufverfahrens für Finanz- und Sozialbehörden weiter eingeschränkt worden. Die dagegen angestrengten Verfassungsbeschwerden waren – was die generelle Zugriffsproblematik angeht – ohne Erfolg. Darüber hinaus fanden im internationalen Bereich mit dem Zugriff von US-Behörden auf SWIFT und im nationalen Bereich durch die sog. „Aktion Mikado“ zwei spektakuläre Zugriffe von staatlichen Behörden auf Kundendaten der Banken statt. Der staatliche Zugriff auf Kundendaten wird auch in Zukunft ein aktuelles Thema bleiben, da die politische Diskussion vorwiegend unter dem Aspekt der inneren Sicherheit geführt wird. Gleichwohl ist in diesem Zusammenhang der polemische Begriff des „gläsernen Kunden“, der die vermeintliche Bedeutungslosigkeit des Bankgeheimnisses illustrieren soll, unangebracht. Der Fall Kirch gegen die Deutsche Bank zeigt beispielhaft, dass aus der Verletzung des Bankgeheimnisses eine milliardenschwere Forderung des Kunden gegen die Bank erwachsen kann. Das Bankgeheimnis bleibt also neben dem Datenschutz die zweite wichtige Säule des Datenschutzes in der Bank. Die Diskussion, auf welche Weise Bankgeheimnis und Datenschutz zusammenwirken und in welchen Punkten sie sich unterscheiden, ist sicher noch nicht zu Ende. Wenn diese Diskussion einen neuen Impuls erhielte, wäre ein Ziel dieser Darstellung erreicht.
Literaturverzeichnis
Abel, Ralf B., Geschichte des Datenschutzes, in: Roßnagel, Handbuch Datenschutz, München 2003 Abel, Ralf B., Rechtsfragen von Scoring und Rating, RDV 2006, S. 108 Aepfelbach, Rolf R. / Cimiotti, Gerd, Zur Sicherheit des ec-Kartensystems, WM 1998, S. 1218 Backes, Volker u. a., Entscheidungshilfe für die Übermittlung personenbezogener Daten in Drittländer, RDV 2004, S. 156 Baumbach, Adolf / Hefermehl, Wolfgang, Wechselgesetz und Scheckgesetz mit Nebengesetzen und einer Einführung in das Wertpapierrecht, 23. Aufl., München 2007 Baumbach, Adolf / Lauterbach, Wolfgang / Albers, Jan / Hartmann, Peter, Zivilprozessordnung mit Gerichtsverfassungsgesetz und anderen Nebengesetzen, 65. Aufl., München 2007 Baumbach, Adolf / Hopt, Klaus J., Handelsgesetzbuch mit GmbH & Co., Handelsklauseln, Bank- und Börsenrecht, Transportrecht (ohne Seerecht), 32. Aufl., München 2006 Bergmann, Lutz / Möhrle, Roland / Herb, Armin, Datenschutzrecht, Stuttgart, Stand 01 / 07 Beule, Dirk u.a., Datenschutzrecht in Banken und Sparkassen, Heidelberg 2005 BfDI, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, 21. Tätigkeitsbericht 2005-2006 Blaurock, Uwe, Haftung der Banken beim Einsatz neuer Techniken im Zahlungsverkehr, CR 1989, S. 561 Blaurock, Uwe / Münch, Fred, Elektronisches Geld und Stored Value Cards – im Blickpunkt: Bankrechtsfragen softwaregestützter Zahlungsvorgänge im Internet, KuR 2000, S. 97 Borges, Georg, Rechtsfragen des Phishing – Ein Überblick, NJW 2005, S. 3313 ders., Verträge im elektronischen Geschäftsverkehr – Vertragsabschluss, Beweis, Form, Lokalisierung, anwendbares Recht, München 2003 Borsum, Wolfgang / Hoffmeister, Uwe, Rechtsgeschäftliches Handeln unberechtigter Personen mittels Bildschirmtext, NJW 1985, S. 1205
244
Literaturverzeichnis
dies., Rechtsgeschäftliches Handeln unberechtigter Personen mittels Bildschirmtext und Bankgeschäfte, BB 1983, S. 1441 Bröhl, Georg M., EGG – Gesetz über rechtliche Rahmenbedingungen des elektronischen Geschäftsverkehrs – Erläuterungen zum Regierungsentwurf, MMR 2001, S. 65 Brückner, Dirk, Online Banking, Berlin 2002 Bülow, Peter, Wechselgesetz, Scheckgesetz, Allgemeine Geschäftsbedingungen, 2. Aufl., Heidelberg 1995 Bultmann, Fritz A. / Rahn, Gerd-Jürgen, Rechtliche Fragen des Teleshopping, NJW 1998, S. 2434 Bundschuh, Karl Dietrich, Die neue Rechtsprechung des Bundesgerichtshofs zum Scheckrecht, WM 1983, S. 1178 ders., Die Widerspruchsfrist im Einzugsermächtigungsverfahren, in: Luther / Mertens / Ulmer, Festschrift für Stimpel, Berlin / New York 1985, S. 1039 Cahn, Andreas, Bankgeheimnis und Forderungsverwertung, WM 2004, S. 2041 Canaris, Klaus-Wilhelm, Bankvertragsrecht, 3. Aufl., Berlin / New York 1988 ders., Der Bereicherungsausgleich im bargeldlosen Zahlungsverkehr, WM 1980, S. 354 ders., Bankvertragsrecht, 4. Aufl., Berlin 2005 Cristea, Sever, EU-Richtlinie zum Fernabsatz von Finanzdienstleistungen: Der Entwurf und seine Rechtsfolgen, Zeitschrift für das gesamte Kreditwesen 2002, S. 58 Denck, Johannes, Der Missbrauch des Widerspruchsrechts im Lastschriftverfahren, ZHR 144 (1980), S. 171 ders., Zur Verteidigung der Genehmigungstheorie beim Einzugsermächtigungsverfahren, ZHR 147 (1983), S. 544 Derleder, Peter / Knops, Kai-Oliver / Bamberger, Heinz Georg, Handbuch zum deutschen und europäischen Bankrecht, Berlin / Heidelberg / New York, 2004 Deville, Rainer / Kalthegener, Regina, Wege zum Handelsverkehr mit elektronischer Unterschrift, NJW-CoR 1997, S. 168 ff Dix, Alexander / Gardain, Anja-Maria, Datenexport in Drittstaaten, DuD 2006, S. 343 Düsseldorfer Kreis, Beschlüsse, unter www.BfDI.Bund.de Duisberg, Alexander, Bleibt die Einwilligung zur konzerninternen Weitergabe von personenbezogenen Kundendaten im Unternehmenskauf bestehen? RDV 2004, S. 104 Ebbing, Frank, Schriftform und E-Mail, CR 1996, S. 271
Literaturverzeichnis
245
Eckert, Jörn, Zivilrechtliche Haftung des Kreditkartegeschäfts, WM 1987, S. 161 Einsele, Dorothee, Der bargeldlose Zahlungsverkehr – Anwendungsfall des Garantievertrags oder abstraktes Schuldversprechen?, WM 1999, S. 1801 Engel, Alexandra, Reichweite und Umsetzung des Datenschutzes gemäß der Richtlinie 95 / 46 / EG für aus der Europäischen Union in Drittländer exportierte Daten am Beispiel der USA, Dissertation, Berlin 2003; www.diss.fu-berlin.de / 2005 / 17 / index.html Escher, Markus, Aktuelle Rechtsfragen bei Zahlungen im Internet, in: Lehmann, Rechtsgeschäfte im Netz – electronic commerce, 1999, S. 227 ders., Bankrechtsfragen des elektronischen Geldes im Internet, WM 1997, S. 1173 Essers, Monika / Hartung, Jürgen, Datenschutz bei Unternehmenstransaktionen, RDV 2002, 278 ff Evers, Jürgen / Kiene, Lorenz H., Die Wirksamkeitskriterien von Einwilligungsklauseln und die Auslagerung von Finanzdienstleistungen im Sinne des § 11 BDSG, NJW 2003, S. 2726 Felke, Klaus / Jordans, Roman, Der Referentenentwurf für die Umsetzung der Fernabsatzrichtlinie für Finanzdienstleistungen, WM 2004, S. 166 Fritzemeyer, Wolfgang / Heun, Sven-Erik, Rechtsfragen des EDI – Vertragsgestaltung: Rahmenbedingungen im Zivil-, Wirtschafts- und Telekommunikationsrecht, CR 1992, S. 129 Fritzsche, Jörg / Malzer, Hans M., Ausgewählte zivilrechtliche Probleme elektronisch signierter Willenserklärungen, DnotZ 1995, S. 3 Fülbier, Andreas / Aepfelbach, Rolf, Kommentar zum Geldwäschegesetz, 4. Aufl., Köln 2002 Geis, Ivo, Die digitale Signatur, NJW 1997, S. 3000 Gelberg, Georg, Verwaltungspraxis und Rechtsprechung 1992 / 1993, GewArch 1994, S. 54 Gelder, Alfons van, Die Rechtsprechung des Bundesgerichtshofs zum Lastschriftsverkehr, WM-Sonderbeilage 7 / 2001 ders., Fragen des sogenannten Widerspruchs und des Rückgabeentgelts im Einzugsermächtigungsverfahren, WM 2000, S. 101 Giesen, Thomas, Die Zuverlässigkeit interner Datenschutzbeauftragten, CR 2007, S. 202 Gitter, Rotraud / Schnabel, Christop, Die Richtlinie zur Vorratsdatenspeicherung und ihre Umsetzung in das nationale Recht, MMR 2007, S. 411 Godefroid, Christoph, e-commerce aus der Sicht des deutschen Vertragsrecht, DStR 2001, S. 400
246
Literaturverzeichnis
Gößmann, Wolfgang, Zustandekommen der Zahlungsgarantie im elektronischen Zahlungsverkehr, in: Festschrift für Schimansky, Köln 1999, S. 145 ders., Rechtsfragen neuer Techniken des bargeldlosen Zahlungsverkehrs, in: Haun / Schimansky, Bankrecht, RWS Forum 12, Köln 1998, S. 67 Gößmann, Wolfgang / van Look, Frank, Die Banküberweisung nach dem Überweisungsgesetz, WM-Sonderbeilage 1 / 2000 Gola, Peter / Klug, Christoph, Neuregelungen zur Bestellung betrieblicher Datenschutzbeauftragter, NJW 2007, S. 118 ff. Gola, Peter / Schomerus, Rudolf, Bundesdatenschutzgesetz (BDSG), Kommentar, 9. Aufl. München 2007 Gramlich, Ludwig, „Elektronisches Geld“ im Recht, DuD 1997, S. 383 ders., Elektronisches Geld – Gefahr für Geldpolitik und Währungshoheit?, CR 1997, S. 11 Groß, Ulrich, Rechtliche Aspekte zum System „Geldkarte“, in: Haun / Lwowski / Nobbe, Feschrift für Schimansky, Köln 1999, S. 165 Grundmann, Stefan, Grundsatz- und Praxisprobleme des neuen deutschen Überweisungsrechts, WM 2000, S. 2269 Günnewig, Stefan, Zum Kontrahierungszwang beim Sparkassen-Girokonto, ZIP 1992, S. 1670 Gurlit, Elke, Die Verfassungsrechtsprechung zur Privatheit im gesellschaftlichen und technologischen Wandel, RDV 2006, S. 43 Hadding, Walther, Zahlung mittels Universalkreditkarte, in: Hofmann / MeyerCording / Wiedemann, Festschrift für Pleyer, Köln / Berlin / Bonn / München 1986, S. 17 ders., Die Fernabsatzrichtlinie für Finanzdienstleistungen, ÖBA 2001, S. 105 Hadding, Walther / Häuser, Franz, Rechtsfragen des Lastschriftverfahrens, 1981 dies., Gutschrift und Widerruf des Überweisungsauftrags im Giroverhältnis, WM 1988, S. 1149 dies., Zur Neufassung des Abkommens über den Lastschriftverkehr, WMSonderbeilage 1 / 1983 Häde, Ulrich, Die Zahlungen mit Kredit- und Scheckkarte, rechtliche Aspekte des „Plastikgelds“ und seine Auswirkungen auf die Währung, ZBB 1994, S. 33 Harbeke, Christof, Die POS-Systeme der deutschen Kreditwirtschaft – eine Darstellung unter rechtlichen Aspekten, WM-Sonderbeilage 1 / 1994 Hartmann, Wulf / Höche, Thomas / Wand, Lothar / Weber, Ahrend, Kurzkommentar Bankvordrucke, Loseblattausgabe, Köln, 1. Auflage – 6. Ergänzung 06 / 06
Literaturverzeichnis
247
Hellner, Thorwald, Rechtsfragen des Zahlungsverkehrs unter besonderer Berücksichtigung des Bildschirmtextverfahrens, in: Hadding / Immenga / Mertens / Pleyer / Schneider, Festschrift für Werner, Berlin / New York 1984, S. 251 ders., Rechtsprobleme des Zahlungsverkehrs unter Berücksichtigung der höchstrichterlichen Rechsprechung, ZHR 145 (1981), S. 109 Hellner, Thorwald / Steuer, Stephan, Bankrecht- und Bankpraxis, Loseblatt-Ausgabe, Köln, Stand: 74. Lieferung 2007 Heidemann-Peuser, Helke, Rechtskonforme Gestaltung von Datenschutzklauseln, DuD 2002, S. 389 Herwig, Volker, Zugang und Zustellung in elektronischen Medien, MMR 2001, S. 145 Heun, Sven-Erik, Die elektronische Willenserklärung, CR 1994, S. 595 Heymann, Ernst / Emmerich, Volker / Horn, Norbert / Berger, Klaus P., Handelsgesetzbuch, Berlin / New York 1990 Heymann, Ekkehardt von / Merz, Christian, Bankenhaftung bei Immobilienanlagen, 16. Aufl., Frankfurt am Main 2005 Hoeren, Thomas, Kreditinstitute im Internet – eine digitale Odysee im juristischen Weltraum, WM 1996, S. 2006 ders., Bankdienstleistungen im Internet, in: Hadding / Hopt / Schimansky, Bankdienstleistungen im Internet, Bankrechtstag 1997, Berlin 1998, S. 163 Hoeren, Thomas / Sieber, Ulrich, Handbuch Multimedia-Recht, Stand: Dezember 2006 Hoffmann, Helmut, Die Entwicklung des Internet-Rechts, NJW-Beilage 14 / 2001 Hopt, Klaus J. (Hrsg.), Vertrags- und Formularbuch zum Handels-, Gesellschafts-, Bank- und Transportrecht, 3. Aufl., München 2007 ders., Der Kapitalanlegerschutz im Recht der Banken, München 1975 Horn, Norbert, Entwicklungslinien des europäischen Bank- und Finanzdienstleistungsrechts, ZBB 1994, S. 130 Horn, Norbert / Krämer, Achim (Hrsg.), Bankrecht 2002, Köln 2003 Hoyer, Petra / Klos, Joachim, Regelungen zur Bekämpfung der Geldwäsche und ihre Anwendung in der Praxis, 2. Aufl., Berlin 1998 Hueck, Alfred / Canaris, Klaus-Wilhelm, Recht der Wertpapiere, 12. Aufl., München 1986 Huff, Martin W., Der gestohlene Euro-Scheck, NJW 1990, S. 1160 Iraschko-Luscher, Stephanie, Einwilligung – ein stumpfes Schwert des Datenschutzes? DuD 2006, S. 706
248
Literaturverzeichnis
Jahr, Günther, Romanistische Beiträge zur modernen Zivilrechtswissenschaft, AcP 168 (1968), S. 9 Jaspers, Andreas / Reif, Yvette, Qualifikation des Datenschutzbeauftragte durch praxisnahe Ausbildung, DuD 2007, S. 333 Jordans, Olaf, Der rechtliche Charakter von Ombudsmann-Systemen und ihren Entscheidungen, VuR 2003, S. 253 Kallmeyer, Harald, Umwandlungsgesetz (UmwG), Kommentar, 3. Aufl., Köln 2006 Karper, Irene, Sorgfaltspflichten beim Online-Banking – Der Bankkunde als Netzwerkprofi? DuD 2006, S. 215 Kienholz, Gerfried, Die Zahlung mit Kreditkarte im Nah- und Fernabsatz, München 2000 Kindl, Johann, Elektronischer Rechtsverkehr und digitale Signatur, MittBayNot 1999, S. 29 Klamt, Angelika / Koch, Christian, Das neue Überweisungsrecht – Regierungsentwurf eines Überweisungsgesetzes zur Umsetzung der Richtlinie 97 / 5 / EG vom 27.1.1997 über grenzüberschreitende Überweisungen, DB 1999, S. 943 Köhler, Helmut, Die Rechte des Verbrauchers beim Teleshopping (TV-Shopping, Internet-Shopping), NJW 1998, S. 185 ders., Die Problematik automatisierter Rechtsvorgänge, insbesondere von Willenserklärungen, AcP 182 (1982), S. 126 Köhler, Helmut / Bornkamm, Joachim, Wettbewerbsrecht, 24. Auflage, München 2006 Köndgen, Johannes, Die Entwicklung des privaten Bankrechts in den Jahren 19992003, NJW 2004, S. 1288 ders., Neue Entwicklungen im Bankhaftungsrecht, Köln 1987 ders., Wieviel Aufklärung braucht ein Wertpapierkunde? – Bemerkungen zum Richtlinienentwurf des Bundesaufsichtsamts für den Wertpapierhandel zu § 35 Abs. 2 WpHG, ZBB 1996, S. 361 Kongehl, Gerhard, Das Ulmer Modell, DuD 2007, S. 330 Krüger, Thomas / Büttner, Michael, Elektronische Willenserklärungen im Bankgeschäftsverkehr: Risiken des Online-Banking – zugleich Besprechung des Urteils des Landgerichts Nürnberg-Fürth vom 19.5.1999 = WM 2000, 1005 ff. – WM 2001, S. 221 Kümpel, Siegfried, Bank- und Kapitalmarktrecht, 3. Aufl., Köln 2004 ders., Rechtliche Aspekte der neuen Geldkarte als elektronische Geldbörse, WM 1997, S. 1037
Literaturverzeichnis
249
ders., Rechtliche Aspekte des elektronischen Netzgeldes (cybergeld), WM 1998, S. 365 ders., Elektronisches Geld (cyber coins) als Bankgarantie, NJW 1999, S. 313 Kusserow, Berhold / Dittrich, Kurt, Rechtsprobleme bei Asset-Backed SecuritiesTransaktionen deutscher Kreditinstitute unter besonderer Berücksichtigung datenschutzrechtlicher Aspekte, WM 1997, S. 1786 Lachmann, Jens-Peter, Ausgewählte Probleme aus dem Recht des Bildschirmtextes, NJW 1984, S. 405 Lang, Volker / Assies, Paul / Werner, Stefan, Schuldrechtsmodernisierung in der Bankpraxis, Heidelberg 2002 Langenbucher, Katja, Die Risikozuordnung im bargeldlosen Zahlungsverkehr, München, 2001 Langenbucher, Katja / Gößmann, Wolfgang / Werner, Stefan, Zahlungsverkehr, München 2004 Larenz, Karl, Bemerkungen zur Haftung für „culpa in contrahendo”, in: Festschrift für Ballerstedt, 1976, S. 397 Lewinski, Kai, Persönlichkeitsprofile und Datenschutz bei CRM, RDV 2003, S. 122 Liesecke, Rudolf, Das Bankguthaben in Gesetzgebung und Rechtsprechung, WM 1975, S. 214 Löhnig, Martin, Die Einbeziehung von AGB bei Internet-Geschäften, NJW 1997, S. 1688 Lüke, Gerhard / Walchshöfer, Alfred (Hrsg.), Münchner Kommentar zur Zivilprozessordnung mit Gerichtsverfassungsgesetz und Nebengesetzen, 2. Aufl., München 2001 Meder, Stephan, Die Zulässigkeit einer isolierten Bepreisung des Auslandseinsatzes von Kreditkarten, NJW 1996, S. 1849 ders., Kreditkartenmissbrauch: die Verteilung des Haftungsrisikos im TelefonOrder-, Mail-Order- und Internetverfahren, ZBB 2000, S. 89 ders., Zur Unwiderruflichkeit der Zahlungsanweisung des Kreditkarteninhabers gem. § 790 BGB, NJW 1993, S. 3245 Meder, Stephan / Grabe, Olaf, PayPal – Die „Internet-Währung“ der Zukunft?, BKR 2005, S. 467 Mehrings, Josef, Verbraucherschutz im Cyberlaw, BB 1998, S. 2373 ders., Vertragsabschluß im Internet, MMR 1998, S. 30 Moritz, Hans-Werner / Dreier, Thomas, Rechtshandbuch zum E-Commerce, Köln 2002
250
Literaturverzeichnis
Münch, Joachim, Rechtliche Probleme bei Electronic Banking, NJW-CoR 1989, S. 7 Münchner Kommentar zum Bürgerlichen Gesetzbuch, 4. Aufl., München 2001 ff Neumann, Dania, Die Rechtsnatur des Netzgeldes – Internetzahlungsmittel ecash, München 2000 Nobbe, Gerd, Bankgeheimnis, Datenschutz und Abtretung von Darlehensforderungen, WM 2005, S. 1537 ders., Die Rechtsprechung des Bundesgerichtshofs zum Überweisungsverkehr, WM-Sonderbeilage 4 / 2001 Nobbe, Gerd / Ellenberger, Jürgen, Unberechtigte Widersprüche des Schuldners im Lastschriftverkehr, „sittliche Läuterung“ durch den vorläufigen Insolvenzverwalter?, WM 2006, S. 1885 Obermüller, Manfred, Insolvenzrecht in der Bankpraxis, 7. Aufl., Köln 2007 Oertel, Klaus, Elektronische Form und notarielle Aufgaben im elektronischen Zahlungsverkehr, MMR 2001, S. 419 ff Palandt, Otto, Bürgerliches Gesetzbuch, 67. Aufl., München 2008 Petri, Thomas B., Inhaltliche Anforderungen an ein Verfahrensübersicht nach §§ 4g Abs. 2, 4e BDSG als Grundlage für ein effektives Datenschutzmanagement, RDV 2003, S. 267 Pfeiffer, Thomas, Die Geldkarte – ein Problemaufriss, NJW 1997, S. 1036 Pichler, Rufus, Kreditkartenzahlungen im Internet, die bisherige Verteilung des Missbrauchsrisikos und der Einfluss der Verwendung von SET, NJW 1998, S. 3234 ders., Rechtsnatur, Rechtsbeziehungen und zivilrechtliche Haftung beim elektronischen Zahlungsverkehr im Internet, Band 3 der Arbeitsberichte zum Informations-, Telekommunikations- und Medienrecht, Münster 1998 Pick, Eckhart, Europäischer Rechtsrahmen für den Electronic-Commerce, WM 2000, S. 468 Pleyer, Klemens, Materiellrechtliche und Beweisfragen brei Nutzung von ecGeldautomaten, in: Festschrift für Gottfried Baumgärtel zum 70. Gebirtstag, Köln / Berlin / Bonn / München 1990, S. 201 Räther, Philipp, Datenschutz und Outsourcing, DuD 2005, S. 461 Raiser, Ludwig, Das Recht der Allgemeinen Geschäftsbedingungen, München 1935 Redeker, Helmut, Geschäftsabwicklung mit externen Rechnern im Bildschirmtextdient, NJW 1984, S. 2390
Literaturverzeichnis
251
Reichsgerichträtekommentar, Kommentar zum bürgerlichen Gesetzbuch mit besonderer Berücksichtigung der Rechtsprechung des Reichsgerichts und des Bundesgerichtshofs, herausgegeben von Mitgliedern des Bundesgerichtshofs, 12. Aufl., 1974 ff Reifner, Udo, Das Recht auf ein Girokonto, ZBB 1995, S. 243 Reiser, Cristof, Die Rechtsgrundlagen für das POS-System des deutschen Kreditgewerbes („electronic cash“), WM-Sonderbeilage 3 / 1989 ders., Rechtliche Aspekte der Zahlungsverkehrsnetze, WM 1986, S. 1401 Reiser, Cristof / Werner, Stefan, Rechtsprobleme des Zahlungsverkehrs im Zusammenhang mit EDIFACT, WM 1995, S. 1901 Rossa, Caroline Beatrix, Missbrauch beim electronic cash – Eine zivilrechtliche Bewertung, CR 1997, S. 138 ders., Das neue Signaturgesetz – Grundlage des elektronischen Rechtsverkehrs, MMR 4 / 2001 – Editorial Rossnagel, Alexander, Das neue Recht elektronischer Signaturen, NJW 2001, S. 1817 Rottenburg, Franz von, Rechtsprobleme beim Direct Banking, WM 1997, S. 2381 Rüssmann, Helmut, Die Einziehungsermächtigung im bürgerlichen Recht – ein Institut richterlicher Rechtsschöpfung, JuS 1972, S. 169 Schaffland, Hans-Jürgen, Datenschutz und Bankgeheimnis bei Fusion – (k)ein Thema?, NJW 2002, S. 1539 ff Schaffland, Hans-Jürgen / Wiltfang, Noeme, Bundesdatenschutzgesetz (BDSG), Kommentar, Berlin Stand 01 / 07 Schimansky, Herbert / Bunte, Hermann-Josef / Lwowski, Hans-Jürgen, Bankrechtshandbuch I – II, 3. Aufl., München 2007 Scheffler, Hauke / Dressel, Christian, Vorschläge zur Änderung zivilrechtlicher Formvorschriften und ihre Bedeutung für den Wirtschaftszweig E-Commerce, CR 2000, S. 378 Schmidt, Karsten, Geldrecht – Geld, Zins und Währung im deutschen Recht, 12. Aufl., Berlin 1983 Schmitz, Peter / Eckhardt, Jens, AGB – Einwilligung in Werbung, CR 2006, S. 533 Schnabel, Christoph, Das „Mikado-Prinzip“, DuD 2007, S. 426 Schneider, Claus Peter, Point-of-Sale-Zahlungen mit der ec-Karte, 1990 Schneider, Christian, Das Lastschriftverfahren im Internet, BKR 2002, S. 384 Schröder, Christian, Verbindliche Unternehmensregelungen, DuD 2004, S. 462 Schroeter, Heike, Die neuen Bedingungen für ec-Karten, ZBB 1995, S. 395
252
Literaturverzeichnis
ders., Rechtssicherheit im elektronischen Geschäftsverkehr, WM 2000, S. 2134 Schwark, Eberhardt, Die Verhaltensnormen des §§ 31 ff WpHG, in: Hadding / Hopt / Schimansky, Das Zweite Finanzmarktförderungsgesetz in der praktischen Umsetzung – Bankrechtstag 1995, Berlin 1996 Schwarz, Mathias / Peschel-Mehner, Andreas, Recht im Internet, Der große Rechtsberater für die Online-Praxis, Loseblattausgabe, Frankfurt am Main, Stand: Juni 2007 Schwintowski, Hans-Peter / Schäfer, Frank A., Bankrecht, Commercial Banking – Investment Banking, Köln / Berlin / Bonn / München, 2. Aufl. 2004 Seidel, Ullrich, Dokumentenschutz im elektronischen Rechtsverkehr (I): Bestandsaufnahme und Regelungsperspektive, CR 1993, S. 409 Sichtermann, Siegfried u. a., Bankgeheimnis und Bankauskunft, 3. Aufl., 1984 Simitis, Spiros, Kommentar zum Bundesdatenschutzgesetz (BDSG), 6. Aufl. Baden-Baden 2006 ders., Bundesdatenschutz – Ende der Diskussion oder Neubeginn, NJW 1977, S.729 ders., Chancen und Gefahren der elektronischen Datenverarbeitung, NJW 1971, S. 673 Soergel, Bürgerliches Gesetzbuch, 2. Aufl., Stuttgart / Berlin / Köln 1997 ff., und 3. Aufl., Stuttgart / Berlin / Köln 2000 ff Spallino, Dennis, Rechtsfragen des Netzgeldes, WM 2001, S. 231 Spindler, Gerald, Bankrecht und E-Commerce – Sicherheit im Rechtsverkehr, in: Entgeltklauseln in der Kreditwirtschaft und E-Commerce von Kreditinstituten, Bankrechtstag 2001, Berlin / New York 2002 ders. (Hrsg.), Vertragrecht der Internet-Provider, 2. Aufl., Köln 2004 ders., Online-Banking – Haftungsprobleme, Vortrag bei der Arbeitsgemeinschaft Bank- und Kapitalmarktrecht des DAV, November 2006 Spindler, Gerald / Schmitz, Peter / Geis, Ivo, Teledienstegesetz (TDG), Kommentar, München 2004 Staudinger, J. von, Kommentar zum Bürgerlichen Gesetzbuch mit Einführungsgesetz und Nebengesetzen, 13. Bearbeitung, Berlin 1996 Steding, Ralf / Meyer, Guido, Outsourcing von Bankdienstleistungen: Bank- und datenschutzrechtliche Probleme der Aufgabenverlagerung von Kreditinstituten auf Tochterunternehmen und sonstige Dritte, BB 2001, S. 1693 Steuer, Stefan, Girokonto für jedermann, WM 1998, S. 439 Stockhausen, Lothar, Die Einführung des HBCI-Standards aus bankrechtlicher Sicht, WM 2001, S. 605
Literaturverzeichnis
253
Strube, Hartmut, Haftungsrisiken der ec-Karte, WM 1998, S. 1210 Sutschet, Holger, Auftragsdatenverarbeitung RDV 2004, S. 97
und
Funktionsübertragung,
Taupitz, Jochen, Zivilrechtliche Haftung bei Kreditkartenmissbrauch, Frankfurt a.M. 1995 Taupitz, Jochen / Kritter, Thomas, Electronic commerce – Probleme bei Rechtsgeschäften im Internet, JuS 1999, S. 839 Trapp, Andreas, Zivilrechtliche Sicherheitsanforderungen an eCommerce, WM 2001, S. 1192 Tettenborn, Alexander / Bender, Gunnar / Lübben, Natalie / Karenfort, Jörg, Rechtsrahmen für den elektronischen Geschäftsverkehr, BB-Beilage 10 / 2001 The European Banking Federation, Report on Banking Secrecy 2004; unter www.ebf-fbe.eu ULD, Gutachten „Datenweitergabe an SWIFT“, Kiel, 23.08.2006 Ulmer, Peter / Brandner, Hans E. / Hensen, Horst-Dieter, Kommentar zum AGBRecht, 10. Aufl., Köln 2006 Wand, Lothar, Die Zulässigkeit der Erhebung eines isolierten Entgelts für den Auslandseinsatz einer Kreditkarte, WM 1996, S. 289 ders., Zahlungen mittels elektronischer Geldbörse („GeldKarte“) in: Hadding, Walther, Kartengesteuerter Zahlungsverkehr, Schriftenreihe der Bankrechtlichen Vereinigung, Bd. 14, Berlin 1999, S. 97 ders., Die grenzüberschreitende Lastschrift, WM 1995, S. 2165 Weber, Caroline Beatrix, Zahlungsverfahren im Internet – Zahlungs mittels Kreditkarte, Lastschrift und Geldkarte, Köln 2002 Wedde, Peter, Die wirksame Einwilligung im Arbeitnehmerdatenschutzrecht, DuD 2004, S. 169 ff Weichert, Thilo, Data-Warehouse-Anwendungen für Finanzdienstleister, RDV 2003, S. 114 Weichert, Thilo / Kamp, Meike, Gutachten des ULD: „Scoringsysteme zur Beurteilung der Kreditwürdigkeit – Chancen und Risiken für Verbraucher -“ Kiel / Berlin, 25.11.2005 Werner, Stefan, Geldverkehr im Internet – Ein Praxisleitfaden, Heidelberg 2002 ders., Das Lastschriftverfahren im Internet, BKR 2002, S. 11 ders., Mailorderverfahren: Verschuldensunabhängige Rückbelastungsklausel inAGB von Kreditunternehmen ist unwirksam – Zugleich eine Anmerkung zum Urteil des BGH vom 16.04.2002 Az.: XI ZR 375 / 00, BB 2002, S. 1382 ders., Rechtsprobleme bei Zahlungen über das Netz, KuR 2001, S. 433
254
Literaturverzeichnis
ders., Rechtsprobleme im elektronischen Zahlungsverkehr – Im Blickpunkt: das Internetzahlungsmittel „eCash“, BB-Beilage 12 / 1999, S. 21 ders., Beweislastverteilung und Haftungsrisiken im elektronischen Zahlungsverkehr, MMR 1998, S. 338 ders., Anscheinsbeweis und Sicherheit des ec-PIN-Systems im Lichte der neueren Rechtsprechung, WM 1997, S. 1516 Westphalen, Friedrich von / Marly, Jochen, Vertragsrecht und AGB-Klauselwerke, München 1995 Wiesgickl, Margaretha, Rechtliche Aspekte des Online-Banking, WM 2000, S. 1039 Witt, Bernhard C., IT-Sicherheit kompakt und verständlich, 1. Aufl., Wiesbaden 2006 Wolf, Manfred / Horn, Norbert / Lindacher, Walter F., Kommentar zum AGBG, 4. Aufl., München 1999 Wronka, Georg, Zur Interessenlage bei der Auftragsdatenverarbeitung, RDV 2003, S. 132 Zöllner, Wolfgang, Wertpapierrecht – ein Studienbuch, 14. Aufl., München 1987 Zscherpe, Kerstin A., Überwachung von Finanztransaktionen durch die USA datenschutzrechtlich zulässig? MMR aktuell 12 / 2006, S. XI Zwißler, Sonja, Secure Electronic Transaction – SET, DuD 1989, S. 711