Ein wichtiges Urteil aus Sicht der Verbraucher ist die Entscheidung des Landgerichts Köln vom 20.11.2023 mit dem Aktenzeichen 22 O 43/23. Ein Kunde der SparkasseDie Sparkassen in Deutschland sind eine Gruppe von öffentli... Köln/Bonn, der Opfer eines Online-Banking-Betrugs wurde, errang vor dem Landgericht Köln einen Sieg. Die Bank wurde zum Schadensausgleich verurteilt.
Sachverhalt:
Der Kläger ist Kunde bei der beklagten Sparkasse und nutzt dort ein Girokonto mit Online-Banking. Für die Anmeldung zum Online-Banking und die Autorisierung von Transaktionen verwendet er das push-TAN-Verfahren mit einer separaten App auf seinem Smartphone.
Am 23.09.2022 erhielt der Kläger einen Anruf von einer Person, die vorgab Mitarbeiter der Sparkasse zu sein. Die angezeigte Rufnummer entsprach auch der der Sparkasse. Tatsächlich handelte es sich aber um einen Betrüger, der mittels „Call-ID-Spoofing“ die Rufnummer der Sparkasse vortäuschte. Dieser gab vor, wegen aktueller Betrugsfälle vorsorglich das Konto und die Karte des Klägers gesperrt zu haben. Er bat den Kläger um Freigabe über die push-TAN App, damit er alles wieder entsperren könne.
In der App erschien daraufhin ein Auftrag mit dem Text „Registrierung Karte“ und einem Warnhinweis, keinen nicht selbst veranlassten Auftrag freizugeben. Der Kläger bestätigte den Auftrag. Damit autorisierte er tatsächlich aber unbeabsichtigt die Registrierung einer digitalen Version seiner Debitkarte, die es den Tätern ermöglichte, mit dieser über Apple Pay Zahlungen vorzunehmen.
In den folgenden Tagen nahmen die Täter so insgesamt Transaktionen in Höhe von 14.040,90 EUR vor, wovon lediglich 550 EUR durch den Kläger selbst autorisiert waren. Die Sparkasse erstattete zunächst nur 4.107,52 EUR. Der Kläger verlangte die Erstattung der verbliebenen 9.933,38 EUR. Da die Sparkasse sich weigerte, erhob er Klage.
Entscheidungsgründe:
Das Gericht gab der Klage vollumfänglich statt. Der Kläger hat nach § 675u BGB einen Anspruch darauf, dass die Sparkasse sein Konto so stellt, als wären die nicht autorisierten Zahlungen nicht erfolgt. Denn die Zahlungen wurden unstreitig nicht vom Kläger selbst, sondern von den Betrügern vorgenommen und waren daher nicht autorisiert.
Wörtlich heißt es in dem Urteil:
„Nach § 675u S. 1 BGB hat der Zahlungsdienstleister (hier die Beklagte) des Zahlers (hier des Klägers) im Fall eines nicht autorisierten Zahlungsvorgangs gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist nach § 675u S. 2 BGB verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.“
Die Sparkasse kann dem auch keinen Schadensersatzanspruch wegen grober Fahrlässigkeit des Klägers nach § 675v BGB entgegenhalten. Zwar hat der Kläger einen Auftrag zur „Registrierung Karte“ freigegeben, den er nicht selbst beauftragt hatte und insofern den Warnhinweis missachtet. Dies ist nach Ansicht des Gerichts aber nicht als grob fahrlässig zu werten.
Einerseits hat sich der Betrüger geschickt der Nummer der Sparkasse bedient, was bei einem Bankkunden besonderes Vertrauen erweckt. Die Möglichkeit, dass die Nummer gefälscht sein könnte, dürfte den meisten nicht bekannt sein.
Zudem war durch den allgemeinen Text „Registrierung Karte“ für den Kunden in der Überrumpelungssituation nicht erkennbar, dass es dabei um die Freischaltung von Apple Pay ging und somit Zahlungen nur noch von der Verfügungsgewalt über ein bestimmtes Mobilgerät abhängen würden. Dies hätte die Bank durch einen deutlicheren Hinweis in der App, insbesondere die Nennung von Apple Pay, klarstellen können und müssen. So war für den Kläger der wahre Inhalt des Auftrags nicht klar.
Subjektiv ist das Verhalten des Klägers daher nicht als unentschuldbar anzusehen, womit es an grober Fahrlässigkeit fehlt. Die Umstände sind nicht allein seiner Verantwortung anzulasten.
Folglich muss die Sparkasse den Schaden aus den unautorisierten Zahlungen tragen und das Konto des Klägers entsprechend wiederherstellen. Ebenso muss sie die vorgerichtlichen Anwaltskosten erstatten, da sie mit der Erstattung in Verzug war.
Wörtlich heißt es in den Entscheidungsgründen:
„Grobe Fahrlässigkeit erfordert einen in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt. Selbst ein objektiv grober Pflichtenverstoß rechtfertigt für sich noch keinen zwingenden Schluss auf ein entsprechend gesteigertes personales Verschulden (vgl. BGH, Urteil vom 26.01.2016, XI ZR 91/44, Rn. 71 m.w.N.). Dabei kommt dem Zahlungsdienstleister auch kein Anscheinsbeweis zu Gute, dass bei einem Missbrauch des Online-Bankings, wenn die Nutzung eines Zahlungsauthentifizierungsinstruments korrekt aufgezeichnet worden und die Prüfung der Authentifizierung beanstandungsfrei geblieben ist, eine konkrete grob fahrlässige Pflichtverletzung des Zahlungsdienstnutzers nach § 675v Abs. 2 BGB vorliegt (BGH, a.a.O. Rn.68).52
Schon nach dem Vortrag der Beklagten fehlt es hier allerdings beim Kläger an einer grob fahrlässigen Verletzung der Pflichten eines Zahlungsdienstnutzers. Das Verhalten des Klägers ist danach jedenfalls nicht als subjektiv schlechthin unentschuldbar zu werten.53
Diese Einschätzung stützt das Gericht zum einen darauf, dass sich die Täter des sog. Call-ID Spoofings bedienten. Dem Kläger wurde infolgedessen die Nummer der Beklagten angezeigt, als die Täter ihn anriefen. Für einen verständigen, langjährigen Bankkunden ist die Nutzung einer ihm bekannten Nummer mit besonderem Vertrauen verbunden. Davon, dass die Möglichkeit besteht, eine fremde Nummer zu nutzen, dürfte der Durchschnittsbürger keine Kenntnis haben. Dass dem Kläger der angebliche Mitarbeiter der Beklagten nicht bekannt war, ist für sich genommen noch kein besonders verdächtiger Umstand. In einer großen Organisation wie der der Beklagten herrscht regelmäßig eine gewisse Fluktuation bzw. es findet eine Arbeitsteilung statt, sodass die Bankkunden nicht mehr zwingend nur mit einem Mitarbeiter in Kontakt stehen.54
Etwas anderes gilt auch nicht aufgrund der Bezeichnung des Auftrags in der pushTANDie pushTAN ist ein Verfahren zur sicheren Freigabe von Tran... App als „Registrierung Karte“. Zwar gab der Anrufer vor, er wolle die Karte des Klägers entsperren, nicht registrieren. Allerdings ist die Bezeichnung „Registrierung“ derart weit, dass für den Kläger – vor allem in der Überrumpelungssituation, in der er sich befand und auch bei der durch die Beklagte mit einem Sicherheitshinweis angemahnten sorgfältigen Prüfung – überhaupt nicht erkennbar war, dass es um die Einrichtung eines Zahlungssystems auf einem mobilen Endgerät der Herstellers Apple Inc. und damit die Freigabe einer Möglichkeit zu Kontoverfügungen geht, die nur von der Verfügungsgewalt über dieses mobile Endgerät abhängt. Dabei wäre es der Beklagten ohne weiteres möglich gewesen, durch einen eindeutigen Text, insbesondere durch Verwendung eines Hinweises gerade auf ApplePay dem Kunden deutlich vor Augen zu führen, welcher Zahlungsdienst hier freigegeben werden soll, um so ersichtlich zu machen, dass es um Endgeräte eines bestimmten Herstellers und die Nutzung als Wallet, nicht einer Karte geht (vgl. LG Köln, Urteil vom 09.03.2023 – 15 O 267/22). Bei der hier vorliegenden Gestaltung konnte der Kläger den Text in der pushTAN App dem eigentlichen Vorgang nicht zuordnen. Im Übrigen ergibt sich aus der Formulierung des Warntextes, es sei „kein Auftrag“ freizugeben, der nicht „explizit beauftragt“ wurde, nach seinem natürlichen Wortsinn nicht, dass der Auftrag zwingend über die Online-Banking App erfolgt sein muss. Der Kläger durfte davon ausgehen, dass sein – vermeintlich − telefonisch erteilter „Auftrag“ diese Voraussetzungen ebenso erfülle. Der Vorgang und auch der Pflichtenverstoß des Klägers ist daher bereits nicht allein dessen Verantwortungsbereich anzulasten.“
Praxistipp:
Das Urteil zeigt eindrücklich die Gefahren auf, die von PhishingPhishing-Angriffe können auch dazu führen, dass Betrüger ... und insbesondere der Manipulation von Absenderinformationen wie Telefonnummern oder E-Mail-Adressen von vertrauenswürdigen Absendern wie der eigenen Bank ausgehen. Hier ist äußerste Vorsicht geboten.
Ebenso macht die Entscheidung deutlich, dass Banken ihre Kunden bei der Autorisierung von Transaktionen und insbesondere der Registrierung von Zahlungsinstrumenten wie Apple Pay genau und unmissverständlich über den Inhalt und die Tragweite des Vorgangs aufklären müssen. Allgemeine Hinweise reichen nicht aus. Nur so können sie im Fall eines Angriffs eine Haftung wegen grober Fahrlässigkeit des Kunden begründen.
Kunden sollten generell misstrauisch sein, wenn sie unaufgefordert kontaktiert werden, selbst wenn Absender und Nummer vertrauenswürdig erscheinen. Insbesondere sollten sie niemals auf telefonische Aufforderung hin sensible Transaktionen in ihrem Online-Banking freigeben. Im Zweifel ist der persönliche Kontakt zur Bankfiliale ratsam. Nur so lassen sich derartige Betrugsfälle zuverlässig vermeiden.