Onlinebanking: Keine Haftung bei fahrlässiger TAN-Freigabe
Um betrügerisch überwiesene Geldbeträge von ihrer Bank erstattet zu bekommen, dürfen Bankkunden zuvor nicht grob fahrlässig TAN-Freigaben erteilt haben. Das entschied das Oberlandesgericht (OLG) Frankfurt am Main und wies damit die Klage eines Rechtsanwalts ab. Dieser hatte Betrügern durch eine Phishing-Attacke offenbar Zugriff auf sein Konto gewährt und dann eine Überweisung in Höhe von 50.000 Euro auf seiner PushTAN-App bewilligt (Az. 3 U 3/23).
Der Pressemitteilung des Gerichts(öffnet im neuen Fenster) zufolge erhielt der Kläger im September 2021 eine SMS mit dem Hinweis, dass sein Konto eingeschränkt worden sei. Dabei nutzten die Betrüger offenbar SMS-Spoofing, denn die als Absender genannte Telefonnummer wurde laut Gericht in der Vergangenheit bereits von der Sparkasse verwendet, um den Kunden über vorübergehende Sperrungen nach Sicherheitsvorfällen zu informieren.
Der Anwalt und Steuerberater rief dann eine URL auf, die in der SMS verlinkt war. Zwar enthielt diese das Wort Sparkasse, führte aber offensichtlich auf eine gefälschte Seite, um seine Log-in-Daten abzugreifen. Anschließend erhielt der Bankkunde noch einen Anruf eines Mannes und wurde aufgefordert, "etwas" in der PushTAN-App der Bank zu bestätigen. Noch am selben Tag sollen dann 50.000 Euro vom Konto des Anwalts abgebucht worden sein.
Freigabe per App und Gesichtserkennung erteilt
Nach Angaben der Sparkasse erteilte der Kunde per App und Gesichtserkennung sowohl die Freigabe für ein erhöhtes Tageslimit von 50.000 Euro als auch die Zustimmung für die Überweisung an die Betrüger.
Nach Einschätzung des Gerichts verstieß der Kunde damit gegen seine Pflicht, Sicherheitsmerkmale vor dem Zugriff Unbefugter zu schützen. Er habe einem unbekannten Dritten Zugriff auf ein personalisiertes Sicherheitsmerkmal gewährt und damit "faktisch die Kontrolle über das Authentifizierungsinstrument PushTAN in die Hände des Anrufers gelegt" .
Die Freigabe einer PushTAN auf telefonische Aufforderung hin begründet demnach "den Vorwurf der groben Fahrlässigkeit in objektiver und subjektiver Hinsicht." Denn in der App werde angezeigt, für welchen Zweck die TAN eingesetzt werde. "Beachtet ein Kunde diese deutlichen Hinweise nicht und erteilt die Freigabe, ohne auf die Anzeige zu achten, liegt hierin kein bloß einfach fahrlässiger Pflichtverstoß mehr" , urteilte das OLG und fügte hinzu: "Denn bei Nutzung einer App, die explizit der Freigabe von Finanztransaktionen dient, muss es im Allgemeinen jedem einleuchten, dass die Anzeige zur Kenntnis zu nehmen und gründlich zu prüfen ist."
Jahrelange Warnungen vor Phishing-Attacken
Gegen die Rückerstattung des gestohlenen Betrags spricht nach Ansicht des Gerichts auch die Tatsache, dass sämtliche Banken seit Jahren vor Phishing-Nachrichten warnten. Dies habe der Kläger spätestens nach der Aufforderung, persönliche Sicherheitsmerkmale in einer von ihm selbst als "atypisch" wahrgenommenen Umgebung freizugeben, erkennen müssen. "Spätestens an diesem Punkt hätte die Überlegung ganz nahegelegen, dass er einem Betrugsversuch aufgesessen war" , schreibt das Gericht.
Das Urteil ist noch nicht rechtskräftig. Über eine Nichtzulassungsbeschwerde will der Anwalt erreichen, dass der Fall vom Bundesgerichtshof (BGH) geprüft wird.
In der Vergangenheit urteilten die Gerichte im Falle solcher Phishing-Angriffe gegen Bankkunden sehr unterschiedlich. Zuletzt entschied das Landgericht Köln , dass eine Bank den Schaden erstatten musste, den Betrüger durch das Erschleichen einer digitalen Debitkarte verursacht hatten. Zudem erklärte das Landgericht Heilbronn im vergangenen Jahr in einem Urteil , dass das sogenannte PushTAN-Verfahren "die für einen Anscheinsbeweis erforderliche sehr hohe Wahrscheinlichkeit vermissen lässt" . Das könnte für Banken zur Folge haben, dass sie in Betrugsfällen eher die entstandenen Schäden ihrer Kunden ausgleichen müssen.