Viele Kanzleien. Ein starkes Netzwerk.
Aktuelles
Neues aus Markt und Netzwerk
 

Zahlungsdienstleister TAN-Registrierungscode an vermeintlichen Bankmitarbeiter weitergegeben

Ein betrügerischer Anrufer bewegte einen Bankkunden mit Insiderwissen dazu, seinen Registrierungscode für die Einrichtung des TAN-Verfahrens weiterzugeben. Anschließend wurden ihm fast 10.000€ abgebucht. Der Bankkunde verlangte von der Bank die Erstattung des Betrages. Die Bank lehnte dies jedoch ab, da der Bankkunde die Abbuchung grob fahrlässig verursacht habe.

Sachverhalt

Bankkunde X nutzt sein Konto auch für Online-Banking, dafür benützt er seinen PC und das Handy seiner Lebensgefährtin. Trotzdem hatte er bei der Bank auch seine eigene Mobiltelefonnummer hinterlegt. Im Januar 2023 rief ein Mann, der sich als Bankmitarbeiter ausgab, seine Handynummer an. Gleich werde X per SMS einen Link auf sein Handy erhalten, erklärte der Anrufer, da gehe es um die Zustimmung zu neuen Vertragsbedingungen der Bank. Herr X müsse Namen und Link in die Eingabemaske einer Internetseite eintragen. Der Anrufer diktierte X den Namen einer Webseite, die er aufrufen sollte. Tatsächlich kam kurz darauf eine SMS von der Bank. Der Link war ein Registrierungscode, mit dem X eine PushTAN-App fürs Online-Banking einrichten konnte. Darunter der Warnhinweis: „Bitte leiten Sie diese SMS nicht an dritte Personen weiter! Kein Mitarbeiter wird Sie um Weitergabe dieser Daten bitten.“

X überprüfte per Rückruffunktion des Handys, ob der Anruf tatsächlich von der Bank kam. Das war der Fall. Nun gab der Bankkunde den Link ein und erhielt die Mitteilung, die AGB-Einwilligung sei aktualisiert. In den nächsten Tagen wurden von seinem Konto fast 10.000 Euro abgebucht, bevor er das Malheur bemerkte und das Konto sperren ließ. Von der Bank verlangte X den unberechtigt abgebuchten Betrag zurück. Doch die Bank konterte mit einer Forderung nach Schadenersatz in gleicher Höhe: Der Kunde habe grob fahrlässig seine Sorgfaltspflichten verletzt. 

Nicht autorisierte Zahlungsvorgänge

Im Falle von nicht autorisierten Zahlungsvorgängen gilt grundsätzlich, dass der Zahlungsdienstleister gegenüber dem Zahler keinen Anspruch auf Erstattung seiner Aufwendungen hat. Stattdessen ist er verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und dessen Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte (§ 675u BGB).

Jedoch hat der Zahler nach § 675v Abs. 3 Nr. 2 lit. a BGB Schadensersatz zu leisten, wenn er den Schaden durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten gem. § 675l Abs. 1 BGB herbeigeführt hat. Demnach ist der Zahlungsdienstnutzer verpflichtet, alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen.

Für das Landgericht Lübeck stellte sich also die Frage, ob der Bankkunde X grob fahrlässig seine personalisierten Sicherheitsmerkmale weitergegeben hat.

Entscheidung des LG Lübeck

Das Landgericht Lübeck bejahte den Schadensersatzspruch der Bank. Herr X habe den Registrierungscode für das TAN-Verfahren an unbefugte Dritte weitergegeben. Die Täter hätten zwar die hinterlegten Handynummern gekannt, über sein Konten Bescheid gewusst und tatsächlich von einer Telefonnummer der Bank aus angerufen. Für X habe es auch plausibel geklungen, dass es um neue Vertragsbedingungen der Bank ging: Denn im Januar 2023 seien wirklich neue Allgemeine Geschäftsbedingungen in Kraft getreten. Deshalb habe X den Anrufer für einen Bankmitarbeiter gehalten.

Trotzdem hätte der Bankkunde den Registrierungscode nicht im Internet eingeben dürfen. Die SMS habe ihren Zweck einleitend benannt („Klicken Sie hier, um die PushTan-App einzurichten“). Und direkt unter dem Code habe der Warnhinweis gestanden, dass kein Bankmitarbeiter um die Weitergabe dieser Daten bitten würde. Spätestens beim Lesen dieser Warnung hätte sich X der Verdacht aufdrängen müssen, dass der Anrufer kein Bankmitarbeiter war. 

Quelle: Urteil des Landgerichts Lübeck vom 01.12.2023 – 3 O 153/23 

Diesen Beitrag teilen

Alle Fachbeiträge zeigen

IT-Recht, Arbeitsrecht, Compliance
17.07.2026

KI-Technologie im Personalwesen (HR)

Dieser Beitrag befasst sich mit den Anforderungen an KI-Systeme, die im Personalwesen eingesetzt werden, sowie mit den Verpflichtungen für Anbieter und Nutzer, die solche Systeme gemäß der EU-Verordnung über künstliche Intelligenz (KI-Verordnung) beantragen. Die KI-Verordnung verfolgt einen risikobasierten Ansatz, bei dem fünf Risikokategorien definiert werden und gleichzeitig zwischen KI-Systemen und KI-Modellen unterschieden wird. Aufgrund dieses Ansatzes bezieht sich die Einstufung des Risikos von KI-Systemen in erster Linie auf deren (möglichen) Zweck und/oder Wirkung.

Beitrag lesen
Internationales Arbeitsrecht
17.07.2026

Koalitionsvertrag: große Veränderungen für die soziale Sicherheit und die Arbeitsunfähigkeit (NLD)

Der aktuelle niederländische Koalitionsvertrag enthält neben dem Gesetz für Selbstständige auch eine Reihe von Plänen, die tiefgreifende Änderungen im System der Arbeitsunfähigkeit und der sozialen Sicherheit mit sich bringen. Diese Vorhaben haben weitreichende Folgen sowohl für Arbeitnehmer als auch für Arbeitgeber. Wir haben einige wichtige Punkte für Sie zusammengefasst.

Beitrag lesen
Internationales Gesellschaftsrecht
13.07.2026

Die Unternehmensstrukturregelung bei (wachsenden) Unternehmen (NLD)

Wenn ein Unternehmen stark wächst, kann die sog. Unternehmensstrukturregelung zum Tragen kommen. Die Strukturregelung verpflichtet unter anderem zur Bildung eines Aufsichtsrats. Der Betriebsrat hat dabei ein Vorschlagsrecht. Der Aufsichtsrat hat weitreichende Befugnisse, wie beispielsweise die Bestellung und Abberufung von Geschäftsführern und die Zustimmung zu wichtigen Geschäftsführungsbeschlüssen.

Beitrag lesen