Der Bankkunde haftet dann für Schäden im Bereich des Online-Banking, wenn er ohne weitere Nachprüfungen Zugangsdaten telefonisch an Dritte weitergibt

Gericht

AG München

Datum

05.01.2017

Aktenzeichen

132 C 49/15

Branche/ Lebenslage

  • Online-Banking,
  • TAN,
  • Phishing,
  • ungewollte Transaktion

Akteure

  • Bankkonto-Inhaber,
  • Bank

Wer haftet?

  • Grundsätzlich haftet bei unbefugten Transaktionen die Bank. Das gilt nicht, wenn der Kunde selbst unvorsichtig im Umgang mit den Sicherungseinrichtungen der Bank handelte

Haftungsart

  • Schadensersatz

Haftungsumfang

  • Schadensersatz,
  • Verfahrenskosten

Haftungsbegründendes Verhalten

Preisgabe von Kundendaten (per Online-Maske) und TAN (telefonisch) an Dritte

Technische Umstände

Die telefonische Preisgabe der TAN und Eingabe weiterer Kundendaten in eine nicht von der Bank selbst stammende Online-Maske ermöglichte es, bei der Bank unbefugt Zahlungen in Auftrag zu geben

Persönliche Umstände

Der Bankkunde handelte grob fahrlässig, als er (oder seine Ehefrau) telefonisch eine mobileTAN, für die in der SMS eine Vorgangsnummer angegeben war, nicht überprüfte und an Dritte weitergab

Möglichkeiten der Haftungsvermeidung

Banken sollten grundsätzlich vor bekannten Betrugsmethoden warnen; Bankkonten-Inhaber sollten im Online-Banking mit der Methode mobileTAN die in der SMS angegebenen Überweisungszwecke vor Eingabe/Weitergabe der TAN prüfen. Besonders im mobilTAN-Verfahren wird dem Bankkunden die Möglichkeit eingeräumt, den Verwendungszweck von zugesendeten TAN vor der endgültigen Nutzung zu überprüfen; Auffälligkeiten im Online-Banking sollten unverzüglich der bearbeitenden Bank mitgeteilt werden

Zitate, Zusammenfassende Würdigung, Strategien zur Haftungsvermeidung

Der Kläger verlangte von der Bank den Ausgleich seines Kontos wegen einer von der Bank ausgeführten Überweisung, die nicht vom Kläger selbst, sondern einem Dritten in Folge einer Phishing-Attacke veranlasst worden war. Die Ehefrau hatte auf einer gefälschten Webseite die Bankdaten des Klägers eingegeben ohne zu merken, Opfer einer Phishing-Attacke geworden zu sein.

Begriffserklärung Phishing-Attacke: Über die Zwischenschaltung in die Kommunikation von Bankkunden und Bank (etwa über die Verlinkung zu gefälschten Webseiten, z.B. über den Link in einer E-Mail) gelangen die Angreifer an Daten des Bankkunden.

Das Gericht wies die Klage als unbegründet ab:

Zwar stand dem Kläger und seiner Ehefrau, bzw. nach Abtretung dem Kläger allein ein Anspruch auf Erstattung […] gemäß § 675u S. 2 BGB gegen die Beklagte zu, die Beklagte [hat] gegenüber dieser Forderung wirksam mit einem Gegenanspruch in gleicher Höhe aus § 675v Abs.1 BGB aufgerechnet.

Einerseits liegt ein Verletzung der Pflicht nach § 675 Abs.1 BGB vor. Danach hat der Zahlungsdienstnutzer die Pflicht, alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen.

Auch einen Anscheinsbeweis zu Lasten des Bankkunden lehnte das Gericht ab:

Im Rahmen der missbräuchlichen Nutzung von PIN/TAN durch einen Dritten besteht im Rahmen des Online-Bankings kein Anscheinsbeweis für eine grobe Fahrlässigkeit des Kontoinhabers.

Der Ehefrau des Klägers ist indes im streitgegenständlichen Fall grobe Fahrlässigkeit vorzuwerfen. Die Weitergabe der TAN im Telefongespräch begründet den Vorwurf der groben Fahrlässigkeit in objektiver wie subjektiver Hinsicht.

Selbst wenn man zu Gunsten der Ehefrau des Klägers unterstellen würde, dass sie, wie sie behauptet, auf der Phishing-Webseite keine Daten preisgegeben hat, die den Login auf ihr Online-Banking-Konto ermöglichen würden, hätten aufgrund des Inhalts der SMS alle Warnsignale bei ihr anspringen müssen.

Die Beklagte hat nicht zuletzt auf ihrer Webseite mehrfach vor Phishing-Angriffen gewarnt.

ANMERKUNGEN

Das Gericht folgt hier der gängigen, auch höherinstanzlichen Rechtsprechung, vgl. z.B. AG Köln, 28. 05.2014, 113 C 662/13 (mobilTAN); BGH, 24.04.2012, XI ZR 96/11; OLG München, 23.01.2012, 17 U 3527/11 (iTAN), wonach ein unvorsichtiges Vorgehen der Kunden mit den Online-Banking-Funktionen dazu führt, dass sie einen entstehenden Schaden selbst tragen müssen (vgl. auch Richrath, WuB 2018, 1).

Grundsätzlich hat die Bank unbefugte Zahlungen gem. § 675u S. 2 BGB zurückzuerstatten. Diesem Anspruch kann aber ein Schadensersatzanspruch gem. § 675v Abs. 2 BGB zusteht der Bank gegenüberstehen, wenn der Kunde unvorsichtig mit den Autorisierungsmitteln der Bank umgegangen ist.

Beweislast: Es begründet keinen Anscheinsbeweis zu Gunsten der Bank, demnach die Nutzung von PIN und TAN durch Dritte auf das grob fahrlässige Verhalten des Kunden schließen lässt.

mobilTAN und iTAN: Das Gericht sah es besonders für den Bereich des mobilTAN-Verfahrens als grob fahrlässig an, eine TAN weiterzugeben, die zur Autorisierung eines ungewünschten Zahlungsauftrags generiert wurde. Hierbei bezog sich das Gericht auf die im mobileTAN-Verfahren bestehende Möglichkeit, den in der SMS angegebenen Verwendungszweck der TAN zu überprüfen.

Schreiben Sie einen Kommentar