64110 © GlobalCommunication

Sonstige Themen -

Online-Banking: Grobe Fahrlässigkeit bei „Spoofing“?

Wann müssen Banken Schäden durch widerrechtliche Konto-Abbuchungen ersetzen? Das Landgericht Köln hat in einem „Spoofing“-Fall die Haftung einer Bank bejaht. Im Streitfall hatten sich Kriminelle unter Anzeige der Rufnummer der Bank telefonisch als Bankmitarbeiter ausgegeben und über ApplePay 14.000 € abgebucht. Das Gericht verneinte aufgrund der Umstände grobe Fahrlässigkeit des Kunden.

Darum geht es

Der Kläger nimmt die beklagte Sparkasse auf Wiedergutschrift nicht autorisierter Zahlungsvorgänge in Anspruch. Er unterhält bei der Beklagten ein Privatgirokonto und nutzt hierfür seit mehreren Jahren auch das Online-Banking unter Verwendung des sog. pushTAN-Verfahrens als Authentifizierungsinstrument. 

Damit ermöglicht es die Beklagte ihren Kunden eine Überweisung oder eine sonstige Handlung ? darunter beispielsweise auch die Freischaltung von ApplePay ? webbasiert in der Banking App einzugeben. Veranlasst der Kunde einen Auftrag, benötigt er für dessen Freigabe zusätzlich eine TAN als elektronische Unterschrift. 

Hierzu bediente der Kläger sich des pushTAN-Verfahrens. Durch dieses Verfahren kann der Kläger von einem einzigen Gerät aus sowohl auf sein Online-Banking zugreifen als auch eine TAN anfordern. Wenn er einen Auftrag (z.B. Überweisung, PIN Änderung, Kartenfreischaltung pp.) initialisiert, erhält er für die elektronische Unterschrift eine TAN unter Angabe der konkreten Verwendung übersandt. 

Hierzu hat der Kläger auf seinem Mobiltelefon die pushTAN App installiert. Im September 2022 kontaktierte ein Unbekannter den Kläger telefonisch unter Anzeige der Rufnummer der Beklagten. 

Der Anrufer gab vor, ein Mitarbeiter der Beklagten zu sein, war dies jedoch tatsächlich nicht. Für den Anruf unter Anzeige der Nummer der Beklagten bediente er sich des sog. Call-ID Spoofings. 

Der Anrufer erfragte beim Kläger, ob dieser in der vergangenen Woche von betrügerischen Anrufen oder verdächtigen Kontobewegungen betroffen gewesen sei. Der Kläger verneinte dies. 

Der Anrufer teilte ihm daraufhin mit, dass er aufgrund aktueller Betrugsvorfälle vorsorglich das Konto und die Karte des Klägers gesperrt habe, dieses aber nun nach dessen Auskunft wieder entsperren könne. Er bat den Kläger sodann um entsprechende Freigabe über die pushTAN App der Beklagten auf dem Mobiltelefon des Klägers. 

In der pushTAN App erschien daraufhin, ein Auftrag mit dem Text „Registrierung Karte“. Der Kläger gab den Auftrag frei. Mit dieser Freigabe bestätigte er tatsächlich aber einen durch die Täter initiierte Registrierung einer digitalen Version seiner Debitkarte zur Speicherung auf einem mobilen Endgerät. 

Diese installierten die Täter auf deren mobilen Endgerät und konnten infolgedessen in nur wenigen Tagen Zahlungen von über 14.000 € mit der digitalen Debitkarte unter Nutzung von ApplePay vornehmen. Nachdem die Beklagte vorgerichtlich zunächst einen Betrag von über 4.000 € erstattet hatte, lehnte sie trotz anwaltlicher Zahlungsaufforderung eine weitere Erstattung ab.  

Wesentliche Entscheidungsgründe

Das Landgericht Köln hat der gegen die Bank erhobenen Klage vollumfänglich stattgegeben. 

Das Gericht führte aus, dass der Kläger gegen die Beklagte einen Anspruch habe, sein Konto auf den Stand zu bringen, auf dem es sich ohne die Belastungen durch die nicht autorisierten Zahlungsvorgänge befunden hätte (§ 675u S. 2 BGB). 

Die streitgegenständlichen Zahlungsvorgänge seien nicht durch den Kläger autorisiert gewesen. Dies sei bereits deshalb der Fall, weil sie nicht durch den Berechtigten, nämlich den Kläger, ausgeführt worden seien; eine Stellvertretung für den Kläger sei zudem ausgeschlossen. 

Dass der Kläger die Zahlungsvorgänge mittels ApplePay nicht selbst autorisiert habe, stehe nach dem Vortrag der Parteien fest. Die Beklagte könne dem klägerischen Anspruch auch keinen Schadensersatzanspruch entgegenhalten. 

Zwar sei nach den gesetzlichen Regelungen ein Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler entweder in betrügerischer Absicht gehandelt habe oder er den Schaden durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten nach Gesetz oder den vereinbarten Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments herbeigeführt habe. 

Entsprechendes habe die Beklagte dagegen nicht ausreichend dargelegt. Grobe Fahrlässigkeit erfordere einen in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt. 

Daran fehle es hier. Das Verhalten des Klägers sei jedenfalls nicht als subjektiv schlechthin unentschuldbar zu werten. Dies stützt das Gericht dabei darauf, dass sich die Täter des sog. Call-ID Spoofings bedient hätten. 

Dem Kläger sei infolgedessen die Nummer der Beklagten angezeigt worden, als die Täter ihn anriefen. Für einen verständigen, langjährigen Bankkunden sei die Nutzung einer ihm bekannten Nummer mit besonderem Vertrauen verbunden. 

Davon, dass die Möglichkeit bestehe, eine fremde Nummer zu nutzen, dürfte der Durchschnittsbürger keine Kenntnis haben. Auch, dass dem Kläger der angebliche Mitarbeiter der Beklagten nicht bekannt gewesen sei, sei für sich genommen noch kein besonders verdächtiger Umstand. 

In einer großen Organisation wie der der Beklagten herrsche regelmäßig eine gewisse Fluktuation bzw. es finde eine Arbeitsteilung statt. Etwas anderes gelte auch nicht aufgrund der Bezeichnung des Auftrags in der pushTAN App als „Registrierung Karte“. 

Zwar habe der Anrufer vorgegeben, er wolle die Karte des Klägers entsperren, nicht registrieren. Allerdings sei die Bezeichnung „Registrierung“ derart weit, dass für den Kläger – vor allem in der konkreten Überrumpelungssituation - überhaupt nicht erkennbar gewesen sei, dass es um die Einrichtung eines Zahlungssystems auf einem mobilen Endgerät und damit die Freigabe einer Möglichkeit zu Kontoverfügungen gehe. 

Dabei wäre es der Beklagten ohne weiteres möglich gewesen, durch einen eindeutigen Text, insbesondere durch Verwendung eines Hinweises gerade auf ApplePay dem Kunden deutlich vor Augen zu führen, welcher Zahlungsdienst hier freigegeben werden soll. 

Auch aus der Formulierung des Warntextes in der App, es sei „kein Auftrag“ freizugeben, der nicht „explizit beauftragt“ wurde, folge nach seinem natürlichen Wortsinn nicht, dass der Auftrag zwingend über die Online-Banking App erfolgt sein müsse. Der Kläger habe daher davon ausgehen dürfen, dass sein – vermeintlich ? telefonisch erteilter „Auftrag“ diese Voraussetzungen ebenso erfülle.   

Landgericht Köln, Urt. v. 08.01.2024 - 22 O 43/23  

Quelle: Landgericht Köln, Pressemitteilung v. 31.01.2024

Spezialreport Insolvenzrecht 2022

Die Auswirkungen in der Praxis im Fokus: Reform des § 64 InsO, Verkürzte Restschuldbefreiung, SanInsFoG, Rechtsprechung 2021/2022 uvm.

» Jetzt hier kostenlos herunterladen!