Viele Kanzleien. Ein starkes Netzwerk.
Aktuelles
Neues aus Markt und Netzwerk
 

Zahlungsdienstleister TAN-Registrierungscode an vermeintlichen Bankmitarbeiter weitergegeben

Ein betrügerischer Anrufer bewegte einen Bankkunden mit Insiderwissen dazu, seinen Registrierungscode für die Einrichtung des TAN-Verfahrens weiterzugeben. Anschließend wurden ihm fast 10.000€ abgebucht. Der Bankkunde verlangte von der Bank die Erstattung des Betrages. Die Bank lehnte dies jedoch ab, da der Bankkunde die Abbuchung grob fahrlässig verursacht habe.

Sachverhalt

Bankkunde X nutzt sein Konto auch für Online-Banking, dafür benützt er seinen PC und das Handy seiner Lebensgefährtin. Trotzdem hatte er bei der Bank auch seine eigene Mobiltelefonnummer hinterlegt. Im Januar 2023 rief ein Mann, der sich als Bankmitarbeiter ausgab, seine Handynummer an. Gleich werde X per SMS einen Link auf sein Handy erhalten, erklärte der Anrufer, da gehe es um die Zustimmung zu neuen Vertragsbedingungen der Bank. Herr X müsse Namen und Link in die Eingabemaske einer Internetseite eintragen. Der Anrufer diktierte X den Namen einer Webseite, die er aufrufen sollte. Tatsächlich kam kurz darauf eine SMS von der Bank. Der Link war ein Registrierungscode, mit dem X eine PushTAN-App fürs Online-Banking einrichten konnte. Darunter der Warnhinweis: „Bitte leiten Sie diese SMS nicht an dritte Personen weiter! Kein Mitarbeiter wird Sie um Weitergabe dieser Daten bitten.“

X überprüfte per Rückruffunktion des Handys, ob der Anruf tatsächlich von der Bank kam. Das war der Fall. Nun gab der Bankkunde den Link ein und erhielt die Mitteilung, die AGB-Einwilligung sei aktualisiert. In den nächsten Tagen wurden von seinem Konto fast 10.000 Euro abgebucht, bevor er das Malheur bemerkte und das Konto sperren ließ. Von der Bank verlangte X den unberechtigt abgebuchten Betrag zurück. Doch die Bank konterte mit einer Forderung nach Schadenersatz in gleicher Höhe: Der Kunde habe grob fahrlässig seine Sorgfaltspflichten verletzt. 

Nicht autorisierte Zahlungsvorgänge

Im Falle von nicht autorisierten Zahlungsvorgängen gilt grundsätzlich, dass der Zahlungsdienstleister gegenüber dem Zahler keinen Anspruch auf Erstattung seiner Aufwendungen hat. Stattdessen ist er verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und dessen Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte (§ 675u BGB).

Jedoch hat der Zahler nach § 675v Abs. 3 Nr. 2 lit. a BGB Schadensersatz zu leisten, wenn er den Schaden durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten gem. § 675l Abs. 1 BGB herbeigeführt hat. Demnach ist der Zahlungsdienstnutzer verpflichtet, alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen.

Für das Landgericht Lübeck stellte sich also die Frage, ob der Bankkunde X grob fahrlässig seine personalisierten Sicherheitsmerkmale weitergegeben hat.

Entscheidung des LG Lübeck

Das Landgericht Lübeck bejahte den Schadensersatzspruch der Bank. Herr X habe den Registrierungscode für das TAN-Verfahren an unbefugte Dritte weitergegeben. Die Täter hätten zwar die hinterlegten Handynummern gekannt, über sein Konten Bescheid gewusst und tatsächlich von einer Telefonnummer der Bank aus angerufen. Für X habe es auch plausibel geklungen, dass es um neue Vertragsbedingungen der Bank ging: Denn im Januar 2023 seien wirklich neue Allgemeine Geschäftsbedingungen in Kraft getreten. Deshalb habe X den Anrufer für einen Bankmitarbeiter gehalten.

Trotzdem hätte der Bankkunde den Registrierungscode nicht im Internet eingeben dürfen. Die SMS habe ihren Zweck einleitend benannt („Klicken Sie hier, um die PushTan-App einzurichten“). Und direkt unter dem Code habe der Warnhinweis gestanden, dass kein Bankmitarbeiter um die Weitergabe dieser Daten bitten würde. Spätestens beim Lesen dieser Warnung hätte sich X der Verdacht aufdrängen müssen, dass der Anrufer kein Bankmitarbeiter war. 

Quelle: Urteil des Landgerichts Lübeck vom 01.12.2023 – 3 O 153/23 

Diesen Beitrag teilen

Alle Fachbeiträge zeigen

computer laptop unternehmer arbeit
Arbeitsrecht
26.08.2025

Nachträgliche Zulassung der Kündigungsschutzklage

Das BAG entschied am 3. April 2025, dass für die nachträgliche Zulassung einer Kündigungsschutzklage bei Schwangerschaft ein ärztlicher Nachweis erforderlich ist – ein positiver Selbsttest reicht nicht aus.

Beitrag lesen
Gesellschaftsrecht
26.08.2025

Reform des Personengesellschaftsrechts (MoPeG): Erste Erfahrungen und Risiken aus Sicht der Beratungspraxis nach Inkrafttreten zum 1. Januar 2024

Zum 1. Januar 2024 ist das Gesetz zur Modernisierung des Personengesellschaftsrechts (MoPeG) in Kraft getreten. Ziel dieser umfassenden Reform ist die zeitgemäße Ausgestaltung der Rechtsformen Gesellschaft bürgerlichen Rechts (GbR), offene Handelsgesellschaft (OHG), Kommanditgesellschaft (KG) und Partnergesellschaft (PartG). Erste Erfahrungen aus der Beratung zeigen: Insbesondere für mittelständische Unternehmen bestehen neue Handlungserfordernisse – aber auch Unsicherheiten und konkrete Risiken.

Beitrag lesen
Geschäftsführerhaftung in der Insolvenz, Insolvenzrecht
26.08.2025

Wann ist eine Zahlungsfähigkeit wiederhergestellt und liegt damit keine Geschäftsführerhaftung (mehr) vor?

Ein Geschäftsführer einer in die Insolvenz geratenen GmbH wird vom Insolvenzverwalter aus dem Gesichtspunkt der Insolvenzverschleppung auf Ersatz in Anspruch genommen. Die zugrundeliegende Argumentation lautet, dass die Zahlungsunfähigkeit bereits mehr als drei Wochen vor dem Datum des Insolvenzantrages entstanden sei. Der Geschäftsführer tritt dem mit dem Argument entgegen, dass zu dem betreffenden Zeitpunkt die Zahlungsfähigkeit wiederhergestellt gewesen sei.

Beitrag lesen