Wann haften Banken nach Phishing-Angriffen? Das Amtsgericht München hat den Anspruch eines Bankkunden auf Ersatz nicht autorisierter Abbuchungen im Zusammenhang mit einem Verkaufsangebot bei „kleinanzeigen.de“ abgelehnt. Der Täter hatte über eine mobileTAN ein neues Endgerät registriert. Das Gericht nahm eine sekundäre Darlegungslast des Bankkunden für die Umstände des TAN-Missbrauchs an.
Darum geht es
Der Kläger bot Anfang August 2023 über das Portal Kleinanzeigen.de einen Gegenstand zum Verkauf an, woraufhin der Kläger von einem vermeintlichen Kaufinteressenten kontaktiert wurde. Dieser veranlasste den Kläger dazu, seine Kreditkartendaten auf einer Phishing-Seite einzugeben.
Am 02.08.2023 um 15:08 Uhr erhielt der Kläger auf seinem Handy schließlich eine mobileTAN per SMS für die Aktivierung eines neuen Geräts. Dieses Gerät wurde von dem Betrüger bei der beklagten Bank per Banking-App kurz darauf auch registriert.
Am 02.08.2023 um 15:11 Uhr und 21:16 Uhr erfolgten zwei Abbuchungen in Höhe von 2.200 € und 207,25 €. Der Kläger veranlasste sofort eine Kartensperrung und verlangte von der Bank die Rückbuchung der beiden Abbuchungen.
Da die Bank dies verweigerte, verklagte der Kläger sie vor dem Amtsgericht München auf Zahlung von 2.407,25 € nebst Zinsen. Der Kläger behauptete, die mit der SMS erhaltene mobileTAN nicht weitergegeben zu haben und auch sonst nirgendwo eingegeben zu haben.
Wesentliche Entscheidungsgründe
Das Amtsgericht München hat die Klage abgewiesen. Nach Auffassung des Gerichts lag eine grob fahrlässige Sorgfaltspflichtverletzung des Klägers vor.
Der Kläger habe in grober Weise die im (Zahlungs-)Verkehr zu fordernde Sorgfalt nicht an den Tag gelegt, indem er seine Kreditkartendaten sowie seine persönlichen Sicherheitsmerkmale an Dritte herausgegeben hat.
Jeder auch nur durchschnittlich aufmerksame Marktteilnehmer wisse, dass Kreditkartendaten und persönliche Sicherheitsmerkmale wie SMS-TANs keinen Dritten, insbesondere keinen Kaufinteressenten auf Kleinanzeigen, mitgeteilt werden dürfen.
Das Gericht ging davon aus, dass der Kläger auf der Phishing-Seite „sicher bezahlen“ die erhaltene SMS-TAN zur Freigabe eines neuen Endgeräts eingegeben hat. Mit Hilfe dieser TAN konnte der Täter dann ein neues Endgerät registrieren und die streitgegenständlichen Verfügungen ausführen.
Der Kläger war unstreitig auf der Phishing-Seite „sicher bezahlen“ und wurde dort aufgefordert zur Eingabe seiner Kreditkartendetails. Der Kläger hat auch unstreitig am 02.08.2023 um 15:08 Uhr per SMS eine TAN erhalten zur Registrierung eines neuen Endgeräts.
Daher sah das Gericht in dieser Konstellation eine sekundäre Darlegungslast auf der Klägerseite dazu, wie die TAN zeitnah an den Täter gelangt ist, wenn nicht dadurch, dass der Kläger sie auf der Phishing-Seite angegeben hat.
Der Kläger ist als Verkäufer auf der Plattform „kleinanzeigen.de“ aufgetreten. Warum man als Verkäufer und damit als Person, die Geld erhalten soll, eine (vorgetäuschte) Zwei-Faktor-Freigabe erteilt, erschloss sich dem Gericht nicht.
Der Kläger mag ggf. nicht bewusst die per SMS erhaltene TAN auf der Phishing-Seite eingegeben haben und es mag ihm auch nicht erinnerlich sein.
Indessen ließe sich der Vorgang plausibel nicht anders erklären. Es dürfe von jedem verständigen Nutzer der Bezahlstruktur im Internet erwartet werden, dass er die grundlegende Bedeutung derartiger Freigabecodes versteht.
Das Urteil ist rechtskräftig.
Amtsgericht München, Urt. v. 21.01.2025 - 222 C 15098/24
Quelle: Amtsgericht München, Pressemitteilung v. 24.03.2025