Zahlungsdienstleister TAN-Registrierungscode an vermeintlichen Bankmitarbeiter weitergegeben

Ein betrügerischer Anrufer bewegte einen Bankkunden mit Insiderwissen dazu, seinen Registrierungscode für die Einrichtung des TAN-Verfahrens weiterzugeben. Anschließend wurden ihm fast 10.000€ abgebucht. Der Bankkunde verlangte von der Bank die Erstattung des Betrages. Die Bank lehnte dies jedoch ab, da der Bankkunde die Abbuchung grob fahrlässig verursacht habe.

Sachverhalt

Bankkunde X nutzt sein Konto auch für Online-Banking, dafür benützt er seinen PC und das Handy seiner Lebensgefährtin. Trotzdem hatte er bei der Bank auch seine eigene Mobiltelefonnummer hinterlegt. Im Januar 2023 rief ein Mann, der sich als Bankmitarbeiter ausgab, seine Handynummer an. Gleich werde X per SMS einen Link auf sein Handy erhalten, erklärte der Anrufer, da gehe es um die Zustimmung zu neuen Vertragsbedingungen der Bank. Herr X müsse Namen und Link in die Eingabemaske einer Internetseite eintragen. Der Anrufer diktierte X den Namen einer Webseite, die er aufrufen sollte. Tatsächlich kam kurz darauf eine SMS von der Bank. Der Link war ein Registrierungscode, mit dem X eine PushTAN-App fürs Online-Banking einrichten konnte. Darunter der Warnhinweis: „Bitte leiten Sie diese SMS nicht an dritte Personen weiter! Kein Mitarbeiter wird Sie um Weitergabe dieser Daten bitten.“

X überprüfte per Rückruffunktion des Handys, ob der Anruf tatsächlich von der Bank kam. Das war der Fall. Nun gab der Bankkunde den Link ein und erhielt die Mitteilung, die AGB-Einwilligung sei aktualisiert. In den nächsten Tagen wurden von seinem Konto fast 10.000 Euro abgebucht, bevor er das Malheur bemerkte und das Konto sperren ließ. Von der Bank verlangte X den unberechtigt abgebuchten Betrag zurück. Doch die Bank konterte mit einer Forderung nach Schadenersatz in gleicher Höhe: Der Kunde habe grob fahrlässig seine Sorgfaltspflichten verletzt. 

Nicht autorisierte Zahlungsvorgänge

Im Falle von nicht autorisierten Zahlungsvorgängen gilt grundsätzlich, dass der Zahlungsdienstleister gegenüber dem Zahler keinen Anspruch auf Erstattung seiner Aufwendungen hat. Stattdessen ist er verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und dessen Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte (§ 675u BGB).

Jedoch hat der Zahler nach § 675v Abs. 3 Nr. 2 lit. a BGB Schadensersatz zu leisten, wenn er den Schaden durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten gem. § 675l Abs. 1 BGB herbeigeführt hat. Demnach ist der Zahlungsdienstnutzer verpflichtet, alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen.

Für das Landgericht Lübeck stellte sich also die Frage, ob der Bankkunde X grob fahrlässig seine personalisierten Sicherheitsmerkmale weitergegeben hat.

Entscheidung des LG Lübeck

Das Landgericht Lübeck bejahte den Schadensersatzspruch der Bank. Herr X habe den Registrierungscode für das TAN-Verfahren an unbefugte Dritte weitergegeben. Die Täter hätten zwar die hinterlegten Handynummern gekannt, über sein Konten Bescheid gewusst und tatsächlich von einer Telefonnummer der Bank aus angerufen. Für X habe es auch plausibel geklungen, dass es um neue Vertragsbedingungen der Bank ging: Denn im Januar 2023 seien wirklich neue Allgemeine Geschäftsbedingungen in Kraft getreten. Deshalb habe X den Anrufer für einen Bankmitarbeiter gehalten.

Trotzdem hätte der Bankkunde den Registrierungscode nicht im Internet eingeben dürfen. Die SMS habe ihren Zweck einleitend benannt („Klicken Sie hier, um die PushTan-App einzurichten“). Und direkt unter dem Code habe der Warnhinweis gestanden, dass kein Bankmitarbeiter um die Weitergabe dieser Daten bitten würde. Spätestens beim Lesen dieser Warnung hätte sich X der Verdacht aufdrängen müssen, dass der Anrufer kein Bankmitarbeiter war. 

Quelle: Urteil des Landgerichts Lübeck vom 01.12.2023 – 3 O 153/23