Zur Erstattungspflicht der Bank bei Spoofing
15.04.2024, Autor: Frau Cátia Sofia Dileone das Neves Sequeira / Lesedauer ca. 3 Min. (48 mal gelesen)
Banken sind grundsätzlich verpflichtet, Beträge zu ersetzen, die auf dem Konto zwar fehlen, die der Bankkunde oder die Bankkundin aber nicht selbst ausgegeben hat. Das kann sogar dann gelten, wenn der Kontoinhaber bzw. die Kontoinhaberin den Zugriff auf das Konto selbst autorisiert hat. Dieser Auffassung ist jedenfalls das Landgericht (LG) Köln. Es verurteilte eine Bank zur Zahlung von 14.000 EUR, die dem Kontoinhaber durch sog. Spoofing abhandengekommen waren (LG Köln, Urteil v. 08.01.2024, Az.: 22 O 43/23).
Täter erschleicht sich Zugang zu Bankkarte mithilfe von Spoofing
Der betroffene Bankkunde war Inhaber eines Girokontos. Er nutzte beim Online-Banking das sogenannte pushTAN-Verfahren und gab darüber Aufträge frei. Beim pushTAN-Verfahren erteilt man in der Online-Banking-App einen Auftrag, den man mit einem Einmalkennwort bestätigt. Dieses Kennwort erhält man, indem man sich in die pushTAN-App einwählt und in der App den jeweiligen Auftrag bestätigt.
Im Herbst 2022 rief bei dem Bankkunden jemand an, der sich als Mitarbeiter seiner Bank ausgab. Der Bankkunde ging davon aus, dass das stimmte, weil bei dem Anruf die ihm bekannte Telefonnummer seiner Bank im Display angezeigt wurde. Allerdings hatte der Anrufer sog. Call-ID-Spoofing verwendet, sodass die Nummer der Bank angezeigt wurde, obwohl der Anruf nicht von der Bank getätigt wurde. In dem Telefonat teilte der Anrufer dem Bankkunden mit, dass aufgrund aktueller Betrugsfälle dessen Konto gesperrt worden sei. Er könne aber unproblematisch eine Entsperrung herbeiführen, indem er in der pushTAN-App den entsprechenden Auftrag freigebe. Die App zeigte dem Bankkunden einen Auftrag an, der „Registrierung Karte“ lautete. Diesen gab der Bankkunde frei.
Entgegen der Angabe des Anrufers entsperrte er damit allerdings nicht sein Konto, sondern bestätigte vielmehr, dass die digitale Version seiner Debitkarte auf dem Smartphone des Anrufers gespeichert wurde. In kurzer Zeit tätigte der Anrufer mithilfe von ApplePay Einkäufe im Wert von ca. 14.000 EUR, die vom Konto des Bankkunden eingezogen wurden. Die Bank erstattete ihrem Kunden davon nur etwa 4.000 EUR, weshalb er vor Gericht zog.
LG Köln: Sparkasse ist zur Erstattung verpflichtet!
Das Landgericht Köln verurteilte auf die Klage des Bankkunden hin die Bank zur Erstattung der weiteren 10.000 EUR. Nach § 675u Satz 2 Bürgerliches Gesetzbuch (BGB) sei diese zur Erstattung des vollen Betrags verpflichtet, der ohne Autorisierung des Kunden von dessen Konto abgebucht wurde.
Einig waren sich Bank und Bankkunde dabei darüber, dass Letzterer die einzelnen Teilbeträge nicht selbst über ApplePay freigegeben hat. Darüber hinaus ist das Gericht der Ansicht, dass auch die durch den Kunden in der App erfolgte Freigabe die späteren Zahlungen nicht autorisiert habe.
Der Erstattungspflicht stehe auch kein Schadensersatzanspruch der Bank gegen den Kunden entgegen. Voraussetzung eines solchen Schadensersatzanspruches wäre, dass der Kunde den Zahlungsvorgang, der den Schaden verursacht hat, in betrügerischer Absicht, vorsätzlich oder grob fahrlässig herbeigeführt hat.
Hat der Kunde grob fahrlässig gehandelt?
Das Gericht verneinte die hier ausschließlich in Betracht kommende grobe Fahrlässigkeit. Hierfür hätte der Kunde schlechthin unentschuldbar gegen die Anforderungen der konkret erforderlichen Sorgfalt verstoßen müssen. Ein solcher Vorwurf könne dem Bankkunden aber nicht gemacht werden. Er habe darauf vertrauen dürfen, dass es sich bei dem Anrufer um einen Bankmitarbeiter handelte, da in seinem Telefon-Display die ihm altbekannte Telefonnummer angezeigt wurde.
Der Bankkunde habe auch nicht misstrauisch werden müssen, weil der der Auftrag in der pushTAN-App „Registrierung Karte“ und nicht beispielsweise „Entsperrung Karte“ hieß. In Anbetracht der Überraschungssituation habe er nicht erkennen müssen, dass er mit dem Auftrag „Registrierung Karte“ ein völlig neues Zahlungssystem freigebe. Im Gegenteil hätte die Bank einen eindeutigeren Freigabetext verwenden sollen – wie etwa einen Hinweis auf ApplePay –, um dem Kontoinhaber zu ermöglichen, überhaupt zu erkennen, welchen Auftrag er da genau freigibt.
Der Hinweis in der App, der Kunde möge bitte keinen Auftrag freigeben, den er nicht „explizit beauftragt“ hat, reicht jedenfalls nicht. Der Bankkunde habe davon ausgehen dürfen, dass der gegenüber dem Anrufer erteilte Auftrag diese Anforderung erfüllt.
Folgen für die Praxis
Die Entscheidung des LG Köln ist noch nicht rechtskräftig. Sie ist auch nicht einfach auf ähnliche Fälle übertragbar, da es sich – wie häufig – um eine Einzelfallentscheidung handelt. Allerdings gibt sie einige interessante Hinweise zum Umgang mit Online-Banking-Betrug, die Banken genauso wie Bankkundinnen und Bankkunden beachten sollten. Banken sollten darauf achten, ihre Freigabetexte eindeutig zu formulieren. Kundinnen und Kunden sollten demgegenüber nicht aufgeben, wenn Banken eine Erstattung im ersten Anlauf ablehnen – die Hürden für grobe Fahrlässigkeit liegen relativ hoch.
Ob als Bank, als Kundin oder Kunde – sprechen Sie mich gerne an, wenn Sie Fragen zum Online-Banking oder zu anderen Themen rund um Bank- und Kapitalmarktrecht haben. Sie erreichen mich unter 040/ 413 46 98 97 oder per E-Mail info@cs-ra.de.
Täter erschleicht sich Zugang zu Bankkarte mithilfe von Spoofing
Der betroffene Bankkunde war Inhaber eines Girokontos. Er nutzte beim Online-Banking das sogenannte pushTAN-Verfahren und gab darüber Aufträge frei. Beim pushTAN-Verfahren erteilt man in der Online-Banking-App einen Auftrag, den man mit einem Einmalkennwort bestätigt. Dieses Kennwort erhält man, indem man sich in die pushTAN-App einwählt und in der App den jeweiligen Auftrag bestätigt.
Im Herbst 2022 rief bei dem Bankkunden jemand an, der sich als Mitarbeiter seiner Bank ausgab. Der Bankkunde ging davon aus, dass das stimmte, weil bei dem Anruf die ihm bekannte Telefonnummer seiner Bank im Display angezeigt wurde. Allerdings hatte der Anrufer sog. Call-ID-Spoofing verwendet, sodass die Nummer der Bank angezeigt wurde, obwohl der Anruf nicht von der Bank getätigt wurde. In dem Telefonat teilte der Anrufer dem Bankkunden mit, dass aufgrund aktueller Betrugsfälle dessen Konto gesperrt worden sei. Er könne aber unproblematisch eine Entsperrung herbeiführen, indem er in der pushTAN-App den entsprechenden Auftrag freigebe. Die App zeigte dem Bankkunden einen Auftrag an, der „Registrierung Karte“ lautete. Diesen gab der Bankkunde frei.
Entgegen der Angabe des Anrufers entsperrte er damit allerdings nicht sein Konto, sondern bestätigte vielmehr, dass die digitale Version seiner Debitkarte auf dem Smartphone des Anrufers gespeichert wurde. In kurzer Zeit tätigte der Anrufer mithilfe von ApplePay Einkäufe im Wert von ca. 14.000 EUR, die vom Konto des Bankkunden eingezogen wurden. Die Bank erstattete ihrem Kunden davon nur etwa 4.000 EUR, weshalb er vor Gericht zog.
LG Köln: Sparkasse ist zur Erstattung verpflichtet!
Das Landgericht Köln verurteilte auf die Klage des Bankkunden hin die Bank zur Erstattung der weiteren 10.000 EUR. Nach § 675u Satz 2 Bürgerliches Gesetzbuch (BGB) sei diese zur Erstattung des vollen Betrags verpflichtet, der ohne Autorisierung des Kunden von dessen Konto abgebucht wurde.
Einig waren sich Bank und Bankkunde dabei darüber, dass Letzterer die einzelnen Teilbeträge nicht selbst über ApplePay freigegeben hat. Darüber hinaus ist das Gericht der Ansicht, dass auch die durch den Kunden in der App erfolgte Freigabe die späteren Zahlungen nicht autorisiert habe.
Der Erstattungspflicht stehe auch kein Schadensersatzanspruch der Bank gegen den Kunden entgegen. Voraussetzung eines solchen Schadensersatzanspruches wäre, dass der Kunde den Zahlungsvorgang, der den Schaden verursacht hat, in betrügerischer Absicht, vorsätzlich oder grob fahrlässig herbeigeführt hat.
Hat der Kunde grob fahrlässig gehandelt?
Das Gericht verneinte die hier ausschließlich in Betracht kommende grobe Fahrlässigkeit. Hierfür hätte der Kunde schlechthin unentschuldbar gegen die Anforderungen der konkret erforderlichen Sorgfalt verstoßen müssen. Ein solcher Vorwurf könne dem Bankkunden aber nicht gemacht werden. Er habe darauf vertrauen dürfen, dass es sich bei dem Anrufer um einen Bankmitarbeiter handelte, da in seinem Telefon-Display die ihm altbekannte Telefonnummer angezeigt wurde.
Der Bankkunde habe auch nicht misstrauisch werden müssen, weil der der Auftrag in der pushTAN-App „Registrierung Karte“ und nicht beispielsweise „Entsperrung Karte“ hieß. In Anbetracht der Überraschungssituation habe er nicht erkennen müssen, dass er mit dem Auftrag „Registrierung Karte“ ein völlig neues Zahlungssystem freigebe. Im Gegenteil hätte die Bank einen eindeutigeren Freigabetext verwenden sollen – wie etwa einen Hinweis auf ApplePay –, um dem Kontoinhaber zu ermöglichen, überhaupt zu erkennen, welchen Auftrag er da genau freigibt.
Der Hinweis in der App, der Kunde möge bitte keinen Auftrag freigeben, den er nicht „explizit beauftragt“ hat, reicht jedenfalls nicht. Der Bankkunde habe davon ausgehen dürfen, dass der gegenüber dem Anrufer erteilte Auftrag diese Anforderung erfüllt.
Folgen für die Praxis
Die Entscheidung des LG Köln ist noch nicht rechtskräftig. Sie ist auch nicht einfach auf ähnliche Fälle übertragbar, da es sich – wie häufig – um eine Einzelfallentscheidung handelt. Allerdings gibt sie einige interessante Hinweise zum Umgang mit Online-Banking-Betrug, die Banken genauso wie Bankkundinnen und Bankkunden beachten sollten. Banken sollten darauf achten, ihre Freigabetexte eindeutig zu formulieren. Kundinnen und Kunden sollten demgegenüber nicht aufgeben, wenn Banken eine Erstattung im ersten Anlauf ablehnen – die Hürden für grobe Fahrlässigkeit liegen relativ hoch.
Ob als Bank, als Kundin oder Kunde – sprechen Sie mich gerne an, wenn Sie Fragen zum Online-Banking oder zu anderen Themen rund um Bank- und Kapitalmarktrecht haben. Sie erreichen mich unter 040/ 413 46 98 97 oder per E-Mail info@cs-ra.de.
