Keine Erstattung nach Pishing: Auffällige Internetseite und spätabendlicher Anruf einer Bankmitarbeiterin hätten Misstrauen wecken müssen
LG Lübeck v. 3.1.2024 - 3 O 83/23
Der Sachverhalt:
Die Parteien streiten über Erstattungsansprüche nach einem sog. Phishing-Angriff beim Online-Banking. Der Kläger unterhielt bei der Beklagten ein Girokonto. Die Freischaltung von Zahlungsaufträgen im Online-Banking erfolgte über eine TAN-App auf seinem Smartphone. In den Bedingungen der Beklagten zum Online-Banking hießt es u.a.:
"Prüfung der Auftragsdaten mit von der ...kasse angezeigten Daten
Die ...kasse zeigt dem Teilnehmer die von ihr empfangenen Auftragsdaten (z.B. Betrag, Kontonummer des Zahlungsempfängers, Wertpapierkennnummer) über das gesondert vereinbarte Gerät des Teilnehmers an (z.B. mittels mobilem Endgerät, Chipkartenlesegerät mit Display). Der Teilnehmer ist verpflichtet, vor der Bestätigung die Übereinstimmung der angezeigten Daten mit den für den Auftrag vorgesehenen Daten zu prüfen."
Im Juni 2022 wollte der Kläger über seinen PC die Internetseite der Beklagten aufrufen. Es erschien eine Webseite mit der Aufforderung, sich durch die Eingabe von persönlichen Daten wie seinem Geburtsdatum zu legitimieren. Diese Aufforderung kam dem Kläger seltsam vor. Der Kläger dachte, sein PC könnte womöglich mit einem Virus infiziert sein und wollte zur Sicherheit sein Smartphone benutzen. Mit diesem Gerät rief er die Webseite auf gleichem Wege wie zuvor über den PC auf. Erneut erschien die Webseite wie zuvor mit der Aufforderung, sich durch die Eingabe von persönlichen zu legitimieren. Daraufhin gab der Kläger seine Daten auf der Webseite ein. Danach wurde auf der Webseite ein fünfstelliger Zahlencode angezeigt sowie die Mitteilung, dass er gleich angerufen werden würde. Kurze Zeit später (gegen 21.30) Uhr wurde der Kläger von einer Frau angerufen, die sich als Mitarbeiterin der Beklagten ausgab. Diese erklärte, der Kläger müsse sich legitimieren und bat den Kläger die TANApp der Beklagten zu öffnen. Das tat der Kläger über sein Smartphone durch Eingabe seiner PIN. Die App öffnete sich und es erschien ein Button mit einem roten Pfeil. Die Anruferin bat den Kläger, den Pfeil herüber zu schieben. Das tat der Kläger.
Die Anruferin fragte den Kläger dann, ob er bei seinem Kontostand Interesse an einem Tagesgeldkonto hätte, was dieser bejahte. Zum Test werde sie 15.000 € von seinem Girokonto auf das neue eingerichtete Tageskonto überweisen. Der Kläger stimmte zu, wobei streitig ist, ob auch in der Höhe von 15.000 €. Der Kläger gab einen - der Höhe nach streitigen - Betrag in seiner TANApp frei. Von dem Konto des Klägers wurden insgesamt 6 Überweisungsaufträge zu je 79.000 € erteilt. Da das Girokonto des Klägers über ein Tageslimit verfügte, wurde nur ein Betrag von rd. 15.000 € auf ein Fremdkonto überwiesen. Der Kläger bemerkte erst am nächsten Morgen, dass der Betrag auf seinem Konto fehlte und kein Tagesgeldkonto für ihn eingerichtet worden war. Ein Betrag i.H.v. rd. 5.000 € wurden dem Kläger erstattet. Der Kläger verlangt Zahlung des Restbetrages i.H.v. rd. 10.000 € auf.
Das LG wies die Klage ab. Das Urteil ist nicht rechtskräftig.
Die Gründe:
Dem Kläger stehen die geltend gemachten Ansprüche unter keinem rechtlichen Gesichtspunkt zu.
Nach § 675u S. 2 BGB ist ein Zahlungsdienstleister (z.B. eine Bank) im Fall eines nicht autorisierten Zahlungsvorgangs verpflichtet, dem Zahler (z.B. Bankkunde) den Zahlungsbetrag zu erstatten. Nicht autorisiert ist ein Zahlungsvorgang, wenn ein Zahlungsauftrag nie erteilt, widerrufen oder nicht wirksam wurde. Unstreitig autorisierte der Kläger die Überweisung i.H.v. 1 €. Fraglich ist, ob er auch die weiteren 14.999 € autorisierte. Dafür spricht ein Ausdruck aus dem System der Beklagten, wonach eine Freigabe in dieser Höhe über die TAN-App des Klägers erfolgte.
Letztlich kann diese Frage jedoch offenbleiben. Denn der Anspruch ist jedenfalls durch Aufrechnung erloschen. Nach § 675v Abs. 3 Nr. 2 lit. b BGB ist der Zahler bei nicht autorisierten Zahlungsvorgängen verpflichtet, dem Zahlungsdienstleister den dadurch entstandenen Schaden zu ersetzen, wenn der Zahler den Schaden durch vorsätzliche oder grob fahrlässige Verletzung oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments herbeigeführt hat. Grob fahrlässig verhandelt, wer außer Acht lässt, was sich in der konkreten Situation jedem hätte aufdrängen müssen. Diese Voraussetzungen liegen vor. Der Kläger hat grob fahrlässig gegen die Bedingungen zum Online-Banking verstoßen, wonach die Freigabe eines Auftrags erst nach Prüfung der Auftragsdaten erfolgen darf.
Der Kläger trägt selbst vor, in der TANApp sei nicht angezeigt worden, welche Überweisung an wen in welcher Höhe freizugeben war. Damit hat der Kläger die Auftragsdaten vor der Freigabe nicht überprüft. Ohne Anzeige der konkreten Auftragsdaten hätte der Kläger keinerlei Aufträge freigeben dürfen. Der Kläger handelte auch grob fahrlässig. Dabei ist unerheblich, welchen Betrag der Kläger freizugeben gedachte. Die Gefahr bei der Freigabe auch von nur 1 € hätte sich in der konkreten Situation jedem aufdrängen müssen. Denn es bestanden mehrere deutliche Warnhinweise, die dem Kläger nach eigenem Vortrag auch aufgefallen sind, die er jedoch ignoriert hat. Der Kläger hätte vorliegend den Betrug bemerken müssen, da ihm die Webseite bereits merkwürdig vorgekommen war und ihn der spätabendliche Anruf zur Kontoeröffnung hätte misstrauisch machen müssen. Der Kläger hätte sorgfältig prüfen müssen, welchen Betrag er auf welches Konto überweist, selbst bei einer Überweisung von nur 1 €. Dies hat er nicht getan.
Mehr zum Thema:
Beratermodul WM / WuB Wirtschafts- und Bankrecht
WM und WuB in einem Modul: Die WM Zeitschrift für Wirtschafts- und Bankrecht informiert wöchentlich aktuell und umfassend im Rechtsprechungsteil über Urteile und Beschlüsse der Gerichte. Die WuB Entscheidungsanmerkungen zum Wirtschafts- und Bankrecht informieren monatlich aktuell und praxisbezogen kommentiert über alle wichtigen wirtschafts- und bankrechtlichen Entscheidungen. 4 Wochen gratis nutzen!
Landesrechtsprechungsdatenbank Schleswig-Holstein
Die Parteien streiten über Erstattungsansprüche nach einem sog. Phishing-Angriff beim Online-Banking. Der Kläger unterhielt bei der Beklagten ein Girokonto. Die Freischaltung von Zahlungsaufträgen im Online-Banking erfolgte über eine TAN-App auf seinem Smartphone. In den Bedingungen der Beklagten zum Online-Banking hießt es u.a.:
"Prüfung der Auftragsdaten mit von der ...kasse angezeigten Daten
Die ...kasse zeigt dem Teilnehmer die von ihr empfangenen Auftragsdaten (z.B. Betrag, Kontonummer des Zahlungsempfängers, Wertpapierkennnummer) über das gesondert vereinbarte Gerät des Teilnehmers an (z.B. mittels mobilem Endgerät, Chipkartenlesegerät mit Display). Der Teilnehmer ist verpflichtet, vor der Bestätigung die Übereinstimmung der angezeigten Daten mit den für den Auftrag vorgesehenen Daten zu prüfen."
Im Juni 2022 wollte der Kläger über seinen PC die Internetseite der Beklagten aufrufen. Es erschien eine Webseite mit der Aufforderung, sich durch die Eingabe von persönlichen Daten wie seinem Geburtsdatum zu legitimieren. Diese Aufforderung kam dem Kläger seltsam vor. Der Kläger dachte, sein PC könnte womöglich mit einem Virus infiziert sein und wollte zur Sicherheit sein Smartphone benutzen. Mit diesem Gerät rief er die Webseite auf gleichem Wege wie zuvor über den PC auf. Erneut erschien die Webseite wie zuvor mit der Aufforderung, sich durch die Eingabe von persönlichen zu legitimieren. Daraufhin gab der Kläger seine Daten auf der Webseite ein. Danach wurde auf der Webseite ein fünfstelliger Zahlencode angezeigt sowie die Mitteilung, dass er gleich angerufen werden würde. Kurze Zeit später (gegen 21.30) Uhr wurde der Kläger von einer Frau angerufen, die sich als Mitarbeiterin der Beklagten ausgab. Diese erklärte, der Kläger müsse sich legitimieren und bat den Kläger die TANApp der Beklagten zu öffnen. Das tat der Kläger über sein Smartphone durch Eingabe seiner PIN. Die App öffnete sich und es erschien ein Button mit einem roten Pfeil. Die Anruferin bat den Kläger, den Pfeil herüber zu schieben. Das tat der Kläger.
Die Anruferin fragte den Kläger dann, ob er bei seinem Kontostand Interesse an einem Tagesgeldkonto hätte, was dieser bejahte. Zum Test werde sie 15.000 € von seinem Girokonto auf das neue eingerichtete Tageskonto überweisen. Der Kläger stimmte zu, wobei streitig ist, ob auch in der Höhe von 15.000 €. Der Kläger gab einen - der Höhe nach streitigen - Betrag in seiner TANApp frei. Von dem Konto des Klägers wurden insgesamt 6 Überweisungsaufträge zu je 79.000 € erteilt. Da das Girokonto des Klägers über ein Tageslimit verfügte, wurde nur ein Betrag von rd. 15.000 € auf ein Fremdkonto überwiesen. Der Kläger bemerkte erst am nächsten Morgen, dass der Betrag auf seinem Konto fehlte und kein Tagesgeldkonto für ihn eingerichtet worden war. Ein Betrag i.H.v. rd. 5.000 € wurden dem Kläger erstattet. Der Kläger verlangt Zahlung des Restbetrages i.H.v. rd. 10.000 € auf.
Das LG wies die Klage ab. Das Urteil ist nicht rechtskräftig.
Die Gründe:
Dem Kläger stehen die geltend gemachten Ansprüche unter keinem rechtlichen Gesichtspunkt zu.
Nach § 675u S. 2 BGB ist ein Zahlungsdienstleister (z.B. eine Bank) im Fall eines nicht autorisierten Zahlungsvorgangs verpflichtet, dem Zahler (z.B. Bankkunde) den Zahlungsbetrag zu erstatten. Nicht autorisiert ist ein Zahlungsvorgang, wenn ein Zahlungsauftrag nie erteilt, widerrufen oder nicht wirksam wurde. Unstreitig autorisierte der Kläger die Überweisung i.H.v. 1 €. Fraglich ist, ob er auch die weiteren 14.999 € autorisierte. Dafür spricht ein Ausdruck aus dem System der Beklagten, wonach eine Freigabe in dieser Höhe über die TAN-App des Klägers erfolgte.
Letztlich kann diese Frage jedoch offenbleiben. Denn der Anspruch ist jedenfalls durch Aufrechnung erloschen. Nach § 675v Abs. 3 Nr. 2 lit. b BGB ist der Zahler bei nicht autorisierten Zahlungsvorgängen verpflichtet, dem Zahlungsdienstleister den dadurch entstandenen Schaden zu ersetzen, wenn der Zahler den Schaden durch vorsätzliche oder grob fahrlässige Verletzung oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments herbeigeführt hat. Grob fahrlässig verhandelt, wer außer Acht lässt, was sich in der konkreten Situation jedem hätte aufdrängen müssen. Diese Voraussetzungen liegen vor. Der Kläger hat grob fahrlässig gegen die Bedingungen zum Online-Banking verstoßen, wonach die Freigabe eines Auftrags erst nach Prüfung der Auftragsdaten erfolgen darf.
Der Kläger trägt selbst vor, in der TANApp sei nicht angezeigt worden, welche Überweisung an wen in welcher Höhe freizugeben war. Damit hat der Kläger die Auftragsdaten vor der Freigabe nicht überprüft. Ohne Anzeige der konkreten Auftragsdaten hätte der Kläger keinerlei Aufträge freigeben dürfen. Der Kläger handelte auch grob fahrlässig. Dabei ist unerheblich, welchen Betrag der Kläger freizugeben gedachte. Die Gefahr bei der Freigabe auch von nur 1 € hätte sich in der konkreten Situation jedem aufdrängen müssen. Denn es bestanden mehrere deutliche Warnhinweise, die dem Kläger nach eigenem Vortrag auch aufgefallen sind, die er jedoch ignoriert hat. Der Kläger hätte vorliegend den Betrug bemerken müssen, da ihm die Webseite bereits merkwürdig vorgekommen war und ihn der spätabendliche Anruf zur Kontoeröffnung hätte misstrauisch machen müssen. Der Kläger hätte sorgfältig prüfen müssen, welchen Betrag er auf welches Konto überweist, selbst bei einer Überweisung von nur 1 €. Dies hat er nicht getan.
Beratermodul WM / WuB Wirtschafts- und Bankrecht
WM und WuB in einem Modul: Die WM Zeitschrift für Wirtschafts- und Bankrecht informiert wöchentlich aktuell und umfassend im Rechtsprechungsteil über Urteile und Beschlüsse der Gerichte. Die WuB Entscheidungsanmerkungen zum Wirtschafts- und Bankrecht informieren monatlich aktuell und praxisbezogen kommentiert über alle wichtigen wirtschafts- und bankrechtlichen Entscheidungen. 4 Wochen gratis nutzen!