27.02.2024

Bankkunde wird Opfer eines Phishing-Angriffs mittels Call-ID Spoofing: Bank muss Schaden erstatten

Das LG Köln hat eine Bank verurteilt, einem Kunden ca. 10.000 € zu erstatten, die von dessen Girokonto als unautorisierte Zahlungen durch einen Dritten abgebucht worden waren. Der Kunde war Opfer eines Phishing-Angriffs mittels Call-ID Spoofing (hier: durch Anzeige der Telefonnummer der Bank) geworden. In dem konkreten Fall könne dem Kunden keine grobe Fahrlässigkeit zur Last gelegt werden, meinte das Gericht.

LG Köln v. 20.11.2023 - 22 O 43/23
Der Sachverhalt:
Der Kläger nimmt die Beklagte auf Wiedergutschrift nicht autorisierter Zahlungsvorgänge in Anspruch. Der Kläger unterhält bei der Beklagten ein Privatgirokonto. Er nutzt hierfür seit 2017 das Online-Banking. Im Hinblick auf die Nutzung des Online-Bankings entschied sich der Kläger für die Verwendung des sog. S-pushTAN-Verfahrens als Authentifizierungsinstrument.

Am 23.9.2022 kontaktierte ein Unbekannter den Kläger telefonisch unter Anzeige der Rufnummer der Beklagten (Nummer +N02). Der Anrufer gab vor, ein Mitarbeiter der Beklagten zu sein, war dies jedoch tatsächlich nicht. Für den Anruf unter Anzeige der Nummer der Beklagten bediente er sich des sog. Call-ID Spoofings. Der Anrufer erfragte beim Kläger, ob dieser in der vergangenen Woche von betrügerischen Anrufen oder verdächtigen Kontobewegungen betroffen gewesen sei. Der Kläger verneinte dies. Der Anrufer teilte ihm daraufhin mit, dass er aufgrund aktueller Betrugsvorfälle vorsorglich das Konto und die Karte des Klägers gesperrt habe, dieses aber nun nach dessen Auskunft wieder entsperren könne. Er bat den Kläger sodann um entsprechende Freigabe über die pushTAN App der Beklagten auf dem Mobiltelefon des Klägers gebeten. In der pushTAN App erschien daraufhin ein Auftrag mit dem Text "Registrierung Karte". Der Kläger gab den Auftrag frei.

Mit dieser Freigabe bestätigte er tatsächlich einen durch die Täter initiierte Registrierung einer digitalen Version seiner Debitkarte zur Speicherung auf einem mobilen Endgerät. Diese installierten die Täter auf deren mobilen Endgerät und konnten infolgedessen Zahlungen mit der digitalen Debitkarte, zum Beispiel unter Nutzung von ApplePay, vornehmen. Zwischen dem 23.9.2022 und dem 25.9.2022 nahmen die Täter Zahlungen über zusammen ca. 14.000 € per ApplePay zu Lasten des Kontos des Klägers vor. Lediglich zwei Zahlungen in diesem Zeitraum, in Höhe von 500 € bzw. 50 €, wurden vom Kläger autorisiert. Die Beklagte erstattete dem Kläger vorgerichtlich bereits etwa 4.000 €.

Die Klage auf Ausgleich des Girokontos in Höhe des ausstehenden Betrages von ca. 10.000 € gegen die Bank war erfolgreich. Das Urteil ist nicht rechtskräftig.

Die Gründe:
Nach § 675u S. 1 BGB hat der Zahlungsdienstleister (hier die Beklagte) des Zahlers (hier des Klägers) im Fall eines nicht autorisierten Zahlungsvorgangs gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist nach § 675u S. 2 BGB verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.

Diese Voraussetzungen sind vorliegend erfüllt, da die streitgegenständlichen Zahlungsvorgänge nicht durch den Kläger autorisiert waren. Dies ist bereits deshalb der Fall, weil sie nicht durch den Berechtigten, nämlich den Kläger, ausgeführt worden sind. Dass der Kläger die Zahlungsvorgänge mittels ApplePay nicht selbst autorisiert hat, steht nach dem Vortrag der Parteien fest.

Die Beklagte kann dem klägerischen Anspruch auch keinen Schadensersatzanspruch gemäß § 675v BGB nach § 242 BGB entgegenhalten (sog. dolo-agit-Einwendung). Ein solcher Anspruch ergibt sich insbesondere nicht aus § 675v Abs. 3 Nr. 2 BGB.

Nach § 675v Abs. 3 BGB ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler entweder in betrügerischer Absicht gehandelt hat oder er den Schaden durch vorsätzliche oder grob fahrlässige Pflichtverletzung gemäß § 675l Abs. 1 BGB (§ 675v Abs. 3 Nr. 2 a) BGB) herbeigeführt hat.

Im Hinblick auf den allein in Betracht kommenden Anspruch gemäß § 675v Abs. 3 Nr. 2 BGB ist die Beklagte ihrer diesbezüglichen Darlegungs- und Beweislast nicht nachgekommen. Schon nach dem Vortrag der Beklagten fehlt es hier beim Kläger an einer grob fahrlässigen Verletzung der Pflichten eines Zahlungsdienstnutzers. Das Verhalten des Klägers ist danach jedenfalls nicht als subjektiv schlechthin unentschuldbar zu werten.

Diese Einschätzung stützt das Gericht zum einen darauf, dass sich die Täter des sog. Call-ID Spoofings bedienten. Dem Kläger wurde infolgedessen die Nummer der Beklagten angezeigt, als die Täter ihn anriefen. Für einen verständigen, langjährigen Bankkunden ist die Nutzung einer ihm bekannten Nummer mit besonderem Vertrauen verbunden. Davon, dass die Möglichkeit besteht, eine fremde Nummer zu nutzen, dürfte der Durchschnittsbürger keine Kenntnis haben. Dass dem Kläger der angebliche Mitarbeiter der Beklagten nicht bekannt war, ist für sich genommen noch kein besonders verdächtiger Umstand.

Etwas anderes gilt auch nicht aufgrund der Bezeichnung des Auftrags in der pushTAN App als "Registrierung Karte". Zwar gab der Anrufer vor, er wolle die Karte des Klägers entsperren, nicht registrieren. Allerdings ist die Bezeichnung "Registrierung" derart weit, dass für den Kläger - vor allem in der Überrumpelungssituation, in der er sich befand - überhaupt nicht erkennbar war, dass es um die Einrichtung eines Zahlungssystems auf einem mobilen Endgerät der Herstellers Apple Inc. und damit die Freigabe einer Möglichkeit zu Kontoverfügungen geht, die nur von der Verfügungsgewalt über dieses mobile Endgerät abhängt. Dabei wäre es der Beklagten ohne weiteres möglich gewesen, durch einen eindeutigen Text, insbesondere durch Verwendung eines Hinweises gerade auf ApplePay dem Kunden deutlich vor Augen zu führen, welcher Zahlungsdienst hier freigegeben werden soll, um so ersichtlich zu machen, dass es um Endgeräte eines bestimmten Herstellers und die Nutzung als Wallet, nicht einer Karte geht (vgl. LG Köln, Urteil v. 9.3.2023 - 15 O 267/22). Bei der hier vorliegenden Gestaltung konnte der Kläger den Text in der pushTAN App dem eigentlichen Vorgang nicht zuordnen.

Mehr zum Thema:

Rechtsprechung:
Mitverschulden des Bankkunden bei Phishing-Angriff
LG Lübeck vom 3.1.2024 - 3 O 83/23
ZIP 2024, 225

Rechtsprechung:
Wirksamkeit der Autorisierung des Zahlers trotz eines Verstoßes des Zahlungsdienstleisters gegen das Verbot der Mitwirkung an einer Zahlung im Zusammenhang mit unerlaubtem Glücksspiel
BGH vom 19.9.2023 - XI ZR 343/22
WM 2023, 2017

Rechtsprechung:
Kein Anscheinsbeweis für Autorisierung einer Zahlungsanweisung bei pushTAN-Verfahren
LG Heilbronn vom 16.5.2023 - BM 6 O 10/23
ZIP 2023, 2353

Beratermodul WM / WuB Wirtschafts- und Bankrecht:
WM und WuB in einem Modul: Die WM Zeitschrift für Wirtschafts- und Bankrecht informiert wöchentlich aktuell und umfassend im Rechtsprechungsteil über Urteile und Beschlüsse der Gerichte. Die WuB Entscheidungsanmerkungen zum Wirtschafts- und Bankrecht informieren monatlich aktuell und praxisbezogen kommentiert über alle wichtigen wirtschafts- und bankrechtlichen Entscheidungen. 4 Wochen gratis nutzen!

Beratermodul ZIP Zeitschrift für Wirtschaftsrecht:
Das Beratermodul ZIP bündelt die Inhalte einer der führenden Zeitschrift zum Wirtschaftsrecht mit Volltexten zu Gesetzen und Entscheidungen sowie den Kurzkommentaren der EWiR. 4 Wochen gratis nutzen!
 

Justiz NRW online
Zurück