Landgericht Karlsruhe verurteilt Sparkasse zur Rückzahlung nach Phishing-Betrug mit Apple Pay

Am 23. November 2023 entschied das Landgericht Karlsruhe in einem richtungsweisenden Urteil (Az. 2 O 312/22), dass eine Sparkasse zur Rückzahlung von EUR 42.182,68 verpflichtet ist. Das Urteil zeigt auf, wie Banken in Fällen von unautorisierten Transaktionen durch Phishing-Betrug haftbar gemacht werden können und hebt die Verantwortung der Banken zur Beweiserbringung hervor.

Der Kläger hatte gegen die Sparkasse geklagt, nachdem auf seinem Konto 122 unautorisierte Zahlungsvorgänge vorgenommen wurden, die einen Gesamtbetrag von EUR 42.182,68 erreichten. Diese Zahlungen erfolgten durch die Nutzung von Apple Pay auf einem fremden Smartphone, ohne dass der Kläger davon Kenntnis hatte. Die Sparkasse argumentierte, dass der Kläger entweder die Zahlungen selbst autorisiert habe oder zumindest grob fahrlässig gehandelt habe, indem er Dritten den Zugang zu seinem Online-Banking ermöglichte. Das Gericht wies diese Argumente jedoch zurück und entschied zugunsten des Klägers.

Hintergrund des Falls

Der Kläger führte ein Girokonto bei der Sparkasse, auf das er über eine EC-Karte und Online-Banking zugreifen konnte. Zwischen dem 11. April und 20. April 2022 wurden 122 Transaktionen über Apple Pay durchgeführt, ohne dass der Kläger diese autorisiert hatte. Der Kläger bemerkte die unrechtmäßigen Belastungen erst, als bei einer Kreditkartenzahlung am Flughafen sein Konto einen Negativsaldo von EUR 970 anzeigte, obwohl er ein Guthaben von etwa EUR 42.000 erwartet hatte. Nach seiner sofortigen Kontaktaufnahme mit der Bank wurde das Konto gesperrt und Strafanzeige erstattet.

Die Sparkasse lehnte jedoch jegliche Haftung ab und argumentierte, dass das Apple-Pay-Verfahren vom Kläger autorisiert wurde, möglicherweise durch unachtsames Verhalten oder durch Preisgabe seiner persönlichen Zugangsdaten. Zudem verwies die Bank darauf, dass der Kläger grob fahrlässig gehandelt habe, indem er sein Online-Banking nicht regelmäßig überprüft habe, wodurch der Betrug früher hätte auffallen können.

Rechtslage und Entscheidungsgründe

Das Gericht setzte sich intensiv mit der Frage auseinander, ob der Kläger grob fahrlässig gehandelt hatte und ob er tatsächlich die fraglichen Transaktionen autorisiert hatte. Die Beweislast in solchen Fällen liegt bei der Bank. Diese muss nachweisen, dass der Kunde entweder die Zahlungsvorgänge autorisiert hat oder dass er durch grob fahrlässiges Verhalten zur Durchführung der Transaktionen beigetragen hat.

Beweislast und Autorisierung

Die Sparkasse konnte im vorliegenden Fall nicht nachweisen, dass der Kläger die Transaktionen autorisiert hatte. Die Bank argumentierte, dass der Kläger durch die Freigabe der pushTAN-App auf seinem iPhone das Apple-Pay-Verfahren auf einem fremden iPhone aktiviert habe. Das Gericht folgte dieser Argumentation jedoch nicht. Es stellte fest, dass die bloße Freigabe eines Zahlungsvorgangs über die pushTAN-App auf dem iPhone des Klägers nicht ausreicht, um zu belegen, dass der Kläger die Transaktionen tatsächlich autorisiert hatte.

Es ist entscheidend, dass die Transaktionen auf einem fremden Gerät durchgeführt wurden. Nach Ansicht des Gerichts war der Kläger nicht in der Lage, die Transaktionen zu kontrollieren oder zu bemerken, da sie auf einem fremden iPhone durchgeführt wurden, auf das er keinen Zugriff hatte.

Fahrlässigkeit und Sorgfaltspflichten

Ein weiterer zentraler Punkt des Urteils war die Frage, ob der Kläger grob fahrlässig gehandelt hatte. Grobe Fahrlässigkeit liegt nur dann vor, wenn der Kunde die im Verkehr erforderliche Sorgfalt in einem besonders hohen Maße verletzt hat, was nach den Maßstäben der Zahlungsdiensterichtlinie und des Bürgerlichen Gesetzbuchs (BGB) zu beurteilen ist.

Die Sparkasse behauptete, der Kläger habe sich grob fahrlässig verhalten, indem er nicht regelmäßig seinen Kontostand überprüfte. Das Gericht wies dieses Argument jedoch zurück und stellte klar, dass eine Überprüfung des Kontostands alle zwei Wochen völlig ausreichend sei und keine besondere Sorgfaltspflicht verletzt wurde.

Der Kläger hatte sein Passwort in einem hochsicheren Passwort-Manager mit AES-256-Verschlüsselung gespeichert und trug damit seinen Pflichten zur sicheren Verwahrung seiner Zugangsdaten ausreichend Rechnung. Auch das Argument der Bank, dass der Kläger sein Smartphone ungeschützt gelassen habe, konnte nicht verfangen, da es sich um ein Firmengerät handelte, das mit aktuellen Sicherheitsmaßnahmen ausgestattet war.

Wörtlich heißt es unter anderem in dem Urteil:

„Ein Erklärungsbewusstsein dahin, dass er das Apple-Pay-Bezahlverfahren auf einem fremden iPhone freigibt und registriert, hatte der Kläger nicht, mag er auch den Freigabe-Button versehentlich berührt oder gedrückt haben. Bewusst wahrgenommen hat er diesen Umstand nach seinen glaubhaften Angaben bei seiner informatorischen Anhörung nach der Überzeugung des Einzelrichters nicht. Dafür, dass er genau dies wollte, gab die in der pushTAN-App angezeigte Meldung ,,Registrierung Karte“ (vgl. Anlage B 1 unter Punkt 4.) keinen hinreichenden Anhalt. Dies war anhand dieser Anzeige auf dem Display nicht ausreichend erkennbar. Vielmehr konnte der Kläger – soweit er diese Meldung (bei Freigabe der App mittels Face-lD) ausreichend lange zu Gesicht bekommen hat, sodass er sie überhaupt lesen konnte – diese als belanglos ansehen und so verstehen, dass er seinen weiteren Kontozugriff im Online-Banking aufrechterhält und die Fortdauer der Nutzung der … bestätigt (MüKoBGB/Jungmann, 9. Aufl., BGB S 6751 Rn. 76 f ,). Der Einzelrichter glaubt dem technisch versierten Kläger, dass ihm, soweit er den Passus ,,Registrierung Karte“ bemerkt haben sollte, keinesfalls bewusst war, d.ie Einrichtung eines neuen Bezahlverfahrens Apple-Pay, gar auf einem fremden iPhone, freizugeben. Dafür ist die Anzeige ,,Registrierung Karte“ zu abstrakt. Was sie bedeuten soll, erschließt sich nicht. Der Zusammenhang mit einem neuen Bezahlverfahren Apple-Pay auf einem neuen iPhone wird nicht deutlich. Es gibt keine ausreichenden Anhaltspunkte dafür, dem Kläger könnte insoweit ein Verschulden, erst recht nicht in Form grober Fahrlässigkeit, zur Last fallen. Eine solche Wertung des vorliegenden Sachverhalts kommt nach Auffassung des Einzelrichters hier nicht in Betracht.

Immerhin verlangt die Beklagte selbst von Zeit zu Zeit (spätestens alle 90 Tage; vgl. Anlage K 9 unter 2.) eine Verifizierung zum Login ins Online-Banking über eine Freigabe mittels pushTAN-App.

Ein versehentliches Berühren des Displays genau dort, wo der Freigabe-Button angezeigt wird, ist nach den Umständen ebenfalls zumindest subjektiv entschuldbar. Inzwischen sieht die App zur Vermeidung eines versehentlichen Betätigens des Freigabe-Buttons ein ,,Wischen“ von links nach rechts vor. Das Entsperren eines Smartphones durch Face-lD geht schnell und automatisch. Der Nutzer braucht es nur in der Hand zu halten und auf das Display zu schauen, wenn er die Entsperrung auslöst. Durch Face-ID wird dann auch – so ist die Beklagte zu verstehen – sogleich die pushTAN-App geöffnet und die Meldung für den Kläger angezeigt. Ein versehentliches Berühren des Displays mit Druck auf den Freigabe- Button just in diesem Moment kann nach der Einschätzung des Einzelrichters durchaus unbemerkt bleiben und erscheint jedenfalls subjektiv entschuldbar. Einen Schuldvorwurf in Form grober Fahrlässigkeit rechtfertigt dies jedenfalls nicht. Nach den glaubhaften informatorischen Angaben des Klägers hat er, sollte er eine solche Freigabe betätigt haben, dies nicht bemerkt, sodass von ihm auch keine weitere Nachprüfung, falls noch möglich, oder die Sperrung des Online-Bankings verlangt werden konnte.

Es gibt keinen Grund, weshalb der Kläger Apple-Pay auf einem fremden iPhone hätte einrichten oder dieses Bezahlverfahren hätte freigeben sollen, das er bis dahin nicht genutzt hat und auch künftig nicht nutzen wollte. Ein betrügerisches Verhalten wirft die Beklagte dem Kläger nicht vor.

Dem Kläger kann auch nicht vorgeworfen werden, sein Smartphone oder das regelmäßig für das Online-Banking genutzte Notebook nicht mit einem Virenschutz versehen oder diesen nicht aktuell gehalten zu haben, Es handelt sich bei beiden Geräten um Firmengeräte, die vom Unternehmen ausreichend und aktuell gegen Bedrohungen geschützt werden. Mangels eigener Eingriffsmöglichkeiten musste sich der Kläger darauf verlassen und durfte dies auch. Auch kann ihm keine Beweisvereitelung vorgehalten werden, weil die Geräte nach turnusmäßigem Austausch nicht mehr für eine Überprüfung durch einen Sachverständigen zur Verfügung stehen.

Festzuhalten ist, dass bei grober Fahrlässigkeit – anders als bei einfacher Fahrlässigkeit, die hach einem ausschließlich objektiven Pflichtenmaßstab beurteilt wird – auch subjektive, in der Individualität des jeweils Handelnden begründete Umstände zu berücksichtigen sind (BGH, Urteil vom 26.01.2016-XIZR 91114, Rn.73; Maihold in: Ellenberger/Bunte, BankRHdB, S 33 Rn. 246). Selbst ein objektiv grober Pflichtverstoß rechtfertigt für sich noch keinen zwingenden Schluss auf ein entsprechend gesteigertes personales Verschulden (BGH, Urteil vom 26.01.2016 – Xl ZRg1l14, Rn. 73, m.w.N.). Den Teilnehmer am Online- Banking muss vielmehr nicht nur aus objektiver Sicht, sondern auch subjektiv ein schlechthin unentschuldbares Versagen bei der Befolgung ihm erkennbarer Pflichten treffen (OLG Dresden, Urteil vom 19.10.2022 – I U 761t22,juris Rn. 72; Maihold in: Ellenberger/Bunte, BankRHdB, S 33 Rn. 246). Dies war hier nicht der Fall.

Wie es den unbekannten Tätern im Vorfeld gelungen ist, den Anmeldenamen des Klägers und die PIN für das Online-Banking abzugreifen und sich dort einzuloggen, ist offen. Es ist nicht auszuschließen, dass die Daten dem Kläger abhandengekommen sind (vgl. Anlage B 9). Phishing-Attacken sind heute so professionell gemacht, dass auch bei großer Sorgfalt im Online-Banking die Anmeldung auf einer täuschend echt gestalteten Internet-Seite denkbar ist. Bei automatischer Weiterleitung auf die echte Seite fällt dies dem Nutzer kaum auf. Es kann aber auch nicht ausgeschlossen werden, dass ein Datenleck bei einem der Sphäre der Beklagten zuzurechnenden Dienstleister bestanden hat, Dies kann auch gewisse Zeit zurückliegen und muss nicht in näherem zeitlichen Zusammenhang mit den hier streitgegenständlichen Buchungen der Fall gewesen sein. Es erscheint nicht ungewöhnlich, wenn einmal abgegriffene Daten längere Zeit im Internet kursieren, um irgendwann verkauft oder genutzt zu werden. Ein grobes Verschulden des Klägers sieht der Einzelrichter auch in diesem Zusammenhang nicht.“

Folgen für die Praxis: Verantwortung der Banken

Das Urteil des Landgerichts Karlsruhe stellt klar, dass Banken eine hohe Beweispflicht haben, wenn es um unautorisierte Transaktionen geht. Sie müssen nicht nur nachweisen, dass die Transaktionen durch den Kunden autorisiert wurden, sondern auch, dass dieser grob fahrlässig gehandelt hat, um Schadensersatzansprüche geltend machen zu können.

In Fällen von Phishing-Angriffen, bei denen Betrüger fremde Geräte nutzen, um Zahlungen über Verfahren wie Apple Pay oder Google Pay abzuwickeln, müssen Banken besonders achtsam sein. Die Einrichtung solcher Zahlungssysteme auf einem fremden Gerät, wie in diesem Fall geschehen, stellt ein erhebliches Risiko für Kunden dar. Banken sollten daher ihre Authentifizierungsverfahren verstärken, um solche Betrügereien zu verhindern. Im vorliegenden Fall führte die Bank erst im Juli 2023, also nach dem Betrug, eine Geräteerkennung ein, die sicherstellt, dass nur registrierte Geräte auf das Konto zugreifen können.

Prävention und Handlungsempfehlungen für Betroffene

Betroffene von Phishing-Attacken sollten sich durch ablehnende Reaktionen ihrer Bank nicht entmutigen lassen. Banken und Sparkassen weisen oft zunächst die Verantwortung von sich und argumentieren, dass die Sicherheitssysteme der Bank einwandfrei funktioniert haben müssen. Dennoch zeigt das Urteil des Landgerichts Karlsruhe, dass Banken nicht immer im Recht sind und Kunden erfolgreich gegen solche Entscheidungen vorgehen können.

Handlungsempfehlungen für Betroffene:

  1. Unverzügliche Sperrung des Kontos: Wenn unberechtigte Transaktionen auf dem Konto festgestellt werden, sollte sofort die Bank informiert und das Konto gesperrt werden. Je schneller der Betrug bemerkt wird, desto geringer ist der finanzielle Schaden.
  2. Strafanzeige erstatten: Nach Feststellung des Betrugs sollte sofort Strafanzeige gegen Unbekannt erstattet werden. Die Polizei kann dann Videoaufzeichnungen und andere Beweismittel sichern, die zur Aufklärung des Falls beitragen können.
  3. Juristischen Rat einholen: Betroffene sollten sich nicht durch ablehnende Schreiben der Bank entmutigen lassen. Eine kostenlose und unverbindliche Erstberatung durch einen Fachanwalt für IT-Recht kann Aufschluss darüber geben, ob die Bank haftbar gemacht werden kann.
  4. Regelmäßige Kontrolle des Kontos: Auch wenn das Gericht im vorliegenden Fall entschied, dass eine alle zwei Wochen durchgeführte Kontrolle des Kontostands ausreichend ist, kann es nicht schaden, den Kontostand häufiger zu prüfen, insbesondere bei hohen Guthaben.

Fazit

Das Urteil des Landgerichts Karlsruhe verdeutlicht, dass Banken eine hohe Verantwortung tragen, wenn es um unautorisierte Transaktionen geht. Kunden können sich gegen die häufigen Ablehnungen der Banken erfolgreich zur Wehr setzen, wenn sie unautorisiert belastet wurden. Phishing-Angriffe sind eine ernstzunehmende Bedrohung, und es liegt in der Verantwortung der Banken, ihre Kunden ausreichend zu schützen und bei Betrug schnell und angemessen zu reagieren.

Das Urteil stellt ein wichtiges Signal dar, dass Kunden im Falle von Phishing-Betrug nicht schutzlos sind und sich auf die Unterstützung der Justiz verlassen können, um ihre Rechte gegenüber den Banken durchzusetzen.

Das Urteil macht deutlich: Bankkunden sollten sich von pauschalen Ablehnungsschreiben der Kreditinstitute nicht abschrecken lassen. Können diese keine Beweise für ein grob fahrlässiges Fehlverhalten des Kunden vorlegen, haben Geschädigte gute Chancen, ihr Geld zurückzuerhalten. Eine frühzeitige anwaltliche Beratung ist hierbei in der Regel empfehlenswert, um die eigenen Ansprüche durchzusetzen.

Das Landgericht hat die grundsätzliche Bedeutung des Falls erkannt. Technisch versierte Betrüger finden immer wieder Mittel und Wege, arglose Bankkunden zu schädigen. Demgegenüber dürfen die Hürden für eine Haftung der Kunden nicht zu niedrig angesetzt werden. Vor diesem Hintergrund können wir mit Spannung die Berufungsentscheidung des OLG Karlsruhe abwarten, das sich aufgrund der Einlegung der Berufung mit dem Fall befassen wird.



Sie benötigen rechtliche Hilfe bei einem Phishing-Fall?

Schritt 1/2:

Vielen Dank für Ihre Anfrage!

Allerdings ist der Betrag nicht hoch genug, sodass sich eine rechtliche Vertretung für Sie in diesem Fall wirtschaftlich höchstwahrscheinlich nicht lohnen wird. 

Das können Sie dennoch tun:

 



Mussten Sie bereits negative Erfahrungen durch Phishing sammeln? Dann würden Sie auch anderen Betroffenen sehr helfen, wenn Sie das Vorgehen in einem Kommentar beschreiben. Vielen Dank!

Schreiben Sie einen Kommentar

WordPress Cookie Plugin von Real Cookie Banner