Haftung bei Phishing und TAN-Weitergabe im Online-Banking – BGH zieht klare Grenzen für Rückerstattungsansprüche bei grober Fahrlässigkeit
Mit einem weiteren wegweisenden Urteil hat der BGH sich mit der Frage auseinandergesetzt, ob ein Zahlungsdienstleister zur Rückerstattung eines nicht autorisierten Zahlungsvorgangs nach § 675u BGB verpflichtet ist, wenn der Kontoinhaber im Rahmen eines Phishing-Angriffs mehrere TANs telefonisch an Dritte weitergegeben hat (Az.: XI ZR 107/24). Die praktischen Auswirkungen des Urteils sind für Bankkunden immens und sollten daher ernst genommen werden. Die Gründe für die Entscheidung erklärt Rechtsanwalt Sascha C. Fürstenow in diesem Beitrag.
Worum geht es?
Bei der Klägerin handelt es sich um eine Sparkassenkundin, die seit 2014 ein Gemeinschaftsgirokonto bei der beklagten Sparkasse führt und seitdem das Online-Banking ihrer Sparkasse benutzt. Für das Online-Banking benötigte die Klägerin einen persönlichen Anmeldenamen sowie ein PIN. Für die Autorisierung von Zahlungsaufträgen wurde das chipTAN-Verfahren mit einem TAN-Generator verwendet. Sie nutzte bislang ausschließlich das optische chipTAN-Verfahren mit einer am Bildschirm angezeigten Flickergrafik. Im Juli 2022 versuchte sie mehrfach erfolglos, ihre Zugangsdaten zu ändern, da der TAN-Generator mehrmals den Prozess abbrach und erhielt dabei ein Pop-up mit der Aufforderung, ihre Zugangsdaten erneut einzugeben und eine neue „Sicherheitssoftware“ zu installieren, das sie nach eigenen Angaben aber schloss. Kurz darauf wurde sie von einer vermeintlichen Bankmitarbeiterin angerufen, wobei durch Caller-ID-Spoofing eine falsche Banknummer angezeigt wurde. Die Anruferin nannte persönliche Kontodaten und veranlasste die Klägerin, Zahlen in den TAN-Generator einzugeben und eine TAN durchzugeben, angeblich zur Installation eines neuen Sicherheitsprogramms. Tatsächlich sollte so das Überweisungslimit erhöht und eine Überweisung vorbereitet werden, was die Klägerin mangels Erfahrung mit dem manuellen Verfahren nicht kannte. Am nächsten Tag – an einem Sonntag – wurde der Vorgang wiederholt und schließlich eine Echtzeit-Überweisung über 35.555 Euro auf ein unbekanntes Konto ausgeführt.
LG Halle (Urteil vom 04.01.2024, 4 O 187/23)
Die Bankkundin verklagte daraufhin ihre Sparkasse und verlangte die Rückerstattung der Überweisungssumme und stütze sich dabei auf §675u BGB (Haftung des Zahlungsdienstleisters für nicht autorisierte Zahlungsvorgänge). Das LG Halle stimmte dem Rückerstattungsanspruch im Wesentlichen zu. Laut dem Urteil könne der Klägerin kein Vorwurf wegen grober Fahrlässigkeit gemacht werden und stimmte einem gegenläufigen Schadensersatzanspruch der Sparkasse nur in der Höhe von 50 Euro gemäß §675v abs. 1 BGB zu.
OLG Naumburg (Urteil vom 22.05.2024 – 5 U 11/24): Kundin grob fahrlässig verhalten
Auf Berufung der Sparkasse wies das OLG Naumburg die Klage vollumfänglich ab, mit der Begründung, dass dem Anspruch der Klägerin nach §675u BGB in gleicher Höhe ein Schadenersatzanspruch der beklagten Sparkasse nach §675v BGB entgegenstehe. Das OLG begründete dies damit, weil das Verhalten der Kundin eine grobe Fahrlässigkeit darstelle und dass die Kundin nicht misstrauisch genug gewesen wäre und erstaunt hätte sein müssen, dass sie unmittelbar darauf und erstmals nach mehreren Jahren Teilnahme am Internet-Banking von einer vermeintlichen Mitarbeiterin der Beklagten zur Identifizierung für ein neues Sicherheitsprogramm, insbesondere an einem Sonntag, angerufen wurde. Zudem hätte sie nach ihrer jahrelangen Erfahrung mit dem Online-Banking auf dem TAN-Generator hätte sehen können, dass sie jeweils eine Empfänger-IBAN und einen Überweisungsauftrag bestätigt.
BGH bestätigt grobe Fahrlässigkeit
Der BGH bejaht, dass es tatsächlich zu einem nicht autorisierten Zahlungsvorgang gekommen ist und gemäß §675u BGB hätte die Sparkasse den Überweisungsbetrag unverzüglich erstatten müssen – allerdings nicht, wenn der Sparkasse ebenso ein Schadensersatzanspruch in gleicher Höhe nach §675v Abs. 3 Nr. 2 BGB zusteht, wenn der Kunde den Schaden durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehreren Pflichten gem. §675l Abs. 1 BGB oder vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments (z.B. TAN) herbeigeführt hat. Der BGH erklärt, dass die Weitergabe mehrerer TANs innerhalb von zwei Telefonaten, insbesondere an einem Sonntag, eine grobe Fahrlässigkeit ihrer Pflichten aus §675l Abs. 1 BGB begründet.
Ihr Verhalten sei auch kein „Augenblickversagen“ gewesen. Ein Augenblickversagen beschreibt den Umstand, dass ein Handelnder für eine kurze Zeit die erforderliche Sorgfalt außer Acht lässt. In diesem Fall lag keine kurzfristige Fehleinschätzung vor, weil die Weitergabe der TANs innerhalb von zwei Tagen erfolgt ist und die Kundin einen ganzen Tag Zeit hatte, die Umstände zu reflektieren. Zudem begründet der BGH die grobe Fahrlässigkeit damit, dass die Kundin bereits seit Jahren mit dem chipTAN-Verfahren vertraut ist und dass ebenfalls auf der Webseite und im Online-Banking ständig vor betrügerischen Telefonanrufen gewarnt wird und ebenfalls in den letzten Jahren auch in den Medien über Phishing-Angriffe im Online-Banking berichtet worden sei.
Keine starke Kundenauthentifizierung der Sparkasse?
Der Schadensersatzanspruch der Bank nach §675v Abs. 3 BGB ist dann nach §675v Abs. 4 BGB ausgeschlossen, wenn der Zahlungsdienstleister eine starke Kundenauthentifizierung nicht verlangt hat. Auch mit der Frage hat sich der BGH auseinandergesetzt, ob der Anspruch ausgeschlossen ist, weil die Sparkasse eine starke Kundenauthentifizierung für das Auslösen des Überweisungsvorgangs verlangt hat, aber nicht für den Login ins Online-Banking, da die Betrügerin dadurch an die Daten der Kundin gelangt ist.
Zwar hat das OLG und der BGH diesen Umstand als mitursächlich bewertet, jedoch sei dies in diesem Fall unerheblich gewesen, da das Verschulden der Kundin die mangelnde Systemsicherheit überwiege. Die Erforderlichkeit einer starken Kundenauthentifizierung bezieht sich somit nur auf den konkreten Zahlungsvorgang und nicht auf das gesamte Geschehen im Online-Banking. Dennoch kann im Einzelfall ein Mangel einer starken Kundenauthentifizierung für das Login ein Mitverschulden der Bank nach §254 BGB befürworten, mit der Folge, dass der Schadensersatzanspruch nach §675v BGB verringert wird, so Rechtsanwalt Fürstenow.
Auswirkungen für Bankkunden
Wichtig ist: nicht jede Weitergabe einer TAN führt automatisch zur groben Fahrlässigkeit. Der BGH hat demnach betont, dass im Einzelfall geprüft werden muss, ob es sich um ein „Augenblicksversagen“ handelt (z. B. Druck, manipulative Situation), das entschuldbar sein kann oder um ein schuldhaftes Verhalten, das nicht mehr entschuldbar ist, wenn es sich um einen längeren Prozess handelt, das dem Kunden die Möglichkeit gibt, über die Umstände zu reflektieren, erklärt RA Fürstenow.
Für Bankkunden bedeutet das:
- Niemals TAN am Telefon weitergeben – auch nicht an angebliche „Bankmitarbeiter“.
- Banken rufen nie zur TAN-Abfrage an.
- Keine unbekannte Software installieren.
- Im Zweifel selbst bei der offiziellen Nummer der Bank zurückanrufen.
- Datum und Uhrzeit des Gesprächs dokumentieren, weitergegebene TANs aufschreiben.
Grundsätzlich gilt weiterhin, dass Kunden bei nicht autorisierten Zahlungsvorgängen Rückerstattungsansprüche nach §675u BGB haben. Ob eine grobe Fahrlässigkeit vorliegt, ist immer abhängig vom Einzelfall. Daher sollten Bankkunden sich nicht davor scheuen, anwaltliche Unterstützung im Phishing-Fall zu holen, um die konkreten Umstände einzelfallabhängig zu betrachten.
Haben Sie weitere Fragen zu dem Thema und möchten sich gerne beraten oder anwaltlich vertreten lassen? Rechtsanwalt Sascha C. Fürstenow steht Ihnen hierzu gerne zur Verfügung.
Der Rechtsrat wurde von der Mitarbeiterin der FÜRSTENOW Anwaltskanzlei, Frau Dastan, erstellt und von Rechtsanwalt Fürstenow fachlich geprüft und finalisiert.
