Online-Banking – grobe Fahrlässigkeit bei TAN-Verfahren

Betrügerische Täuschung und Online-Banking: Ein Fall von unautorisierten Überweisungen

In diesem Fall geht es um Kläger, die Opfer eines betrügerischen Angriffs wurden, bei dem sie durch einen täuschend echt wirkenden „Willkommensbrief“ dazu verleitet wurden, Zugangsdaten für ihr Online-Banking preiszugeben. Der Kern des rechtlichen Dilemmas liegt in der Frage, ob die Bank oder die Kunden die Verantwortung für die daraus resultierenden finanziellen Verluste tragen sollten.

Weiter zum vorliegenden Urteil Az.: 9 O 2630/21 Fin   >>>

Täuschung durch gefälschten Brief

Die Kläger, Kunden einer Bank, erhielten einen betrügerischen Brief, der sie zur Aktivierung des e-Postfach TAN-Verfahrens aufforderte. Der Brief war mit Rechtschreibfehlern gespickt und enthielt falsche Informationen, die jedoch auf den ersten Blick nicht als solche erkennbar waren. Die Kläger folgten den Anweisungen des Briefes und gaben dadurch Zugangsdaten zu ihrem Online-Banking frei.

Unautorisierte Überweisungen und finanzielle Verluste

Nachdem die Kläger den Anweisungen gefolgt waren, wurden unautorisierte Überweisungen von ihren Konten getätigt, wodurch ein Gesamtbetrag von 20.242 € verloren ging. Die Bank lehnte anschließend die Forderungen der Kläger auf Rückerstattung der Beträge ab, woraufhin die Kläger rechtliche Schritte einleiteten und die Erstattung der abgebuchten Beträge forderten.

Verantwortung und Haftung

Die Kläger argumentierten, dass sie nicht grob fahrlässig gehandelt hätten, da der betrügerische Brief täuschend echt gewesen sei. Sie waren der Meinung, die Bank hätte in ihrem echten Schreiben explizit darauf hinweisen müssen, dass Zugangsdaten nur dann herausgegeben werden sollten, wenn diese zuvor selbst angefordert wurden. Die Kläger behaupteten, sie würden gemäß § 675v BGB nur begrenzt auf 50,00 € haften.

Urteil und Konsequenzen

Das Gericht wies die Klage ab und entschied, dass die Kläger die Kosten des Rechtsstreits zu tragen hätten. Das Urteil betonte, dass der entstandene Gutschriftanspruch mangels Autorisierung nach Aufrechnung mit einem Schadensersatzanspruch untergeht. Dieser Fall wirft ein Schlaglicht auf die Risiken des Online-Bankings und die Notwendigkeit, stets wachsam zu sein und persönliche Informationen nur mit äußerster Vorsicht preiszugeben.

Reflexion über Sicherheitsmaßnahmen

Dieser Fall unterstreicht die Bedeutung von Sicherheitsmaßnahmen und Aufklärung im Bereich des Online-Bankings. Sowohl Kunden als auch Banken müssen sich der Gefahren durch Phishing und Betrug bewusst sein und entsprechende Vorkehrungen treffen, um finanzielle Verluste und den Missbrauch von sensiblen Daten zu verhindern.

Das vorliegende Urteil

LG München II – Az.: 9 O 2630/21 Fin – Endurteil vom 11.03.2022

Leitsatz:

Folgt der Kunde den Anweisungen in einem mit Rechtschreibfehlern gespickten betrügerischen „Willkommensbrief zur Aktivierung des e-Postfach TAN-Verfahrens“ und gibt so Zugangsdaten zum Online-Banking frei, geht der mangels Autorisierung entstehende Gutschriftanspruch nach Aufrechnung mit einem Schadensersatzanspruch unter.

1. Die Klage wird abgewiesen.

2. Die Kläger haben die Kosten des Rechtsstreits zu tragen.

3. Das Urteil ist gegen Sicherheitsleistung in Höhe von 110% des jeweils zu vollstreckenden Betrags vorläufig vollstreckbar.

Tatbestand

Die Kläger begehren von der Beklagten Erstattung von Beträgen, die durch unautorisierte Überweisungen von ihren Konten bei der Beklagten abgeflossen sind.

Die Kläger hatten als Verbraucher seit 2001 Konten bei der Beklagten. Die Klägerin zu 1) und der Kläger zu 2) sind verheiratet, der Kläger zu 3) ist ihr gemeinsamer Sohn. Alle drei Konten verfügten über einen gemeinsamen Online-Banking-Zugang, der von der Klägerin zu 1) in Absprache mit den Kläger zu 2) und 3) benutzt wurde.

Die Klägerin zu 1) erhielt am 19.04.2021 einen – nicht von der Beklagten stammenden – sogenannten „Willkommensbrief zur Aktivierung des e-Postfach TAN-Verfahrens“. Am 23.04.2021 erhielt die Klägerin zu 1) ein Schreiben der Beklagten mit der Übersendung des Freischaltcodes für das -Verfahren.

Am 28.04.2021 erhielt der Kläger zu 2) einen Anruf auf seinem Handy von der angezeigten Nummer . Am 29.04.2021 erhielt der Kläger zu 2) erneut einen Anruf von der angezeigten Telefonnummer . Er wurde in diesem Telefonat darauf hingewiesen, dass die Freischaltung bis zum 05.05.2021 vorgenommen werden müsse, da andernfalls die Zugangscodes verfallen würden.

Die Klägerin zu 1) folgte daraufhin den Anweisungen in dem Schreiben vom 19.04.2021 und führte die Aktivierung durch Eingabe des Freischaltcodes auf einer Seite im Internet aus, welche wie eine Seite der Beklagten aussah. Diese Seite hatte die Adresse Im Zeitraum vom 01. bis 03.05.2021 überwiesen Betrüger, die nachfolgend nicht ermittelt werden konnten, unautorisiert insgesamt 20.242 € von den Konten der Kläger auf andere Konten.

Mit Schreiben vom 10.05.2021 lehnte die Beklagte Ansprüche der Kläger auf Wiedergutschrift der überwiesenen Beträge auf die Konten der Kläger ab.

Mit anwaltlichen Schreiben vom 21.05.2021 forderten die Kläger die Beklagte nochmals zur Wiedergutschrift der abgebuchten Beträge auf ihren Konten auf.

Die Konten wurden zwischenzeitlich gekündigt.

Das Schreiben vom 19.04.2021 weist einige Rechtschreibfehler auf. In der Absenderangabe über der Adresse wurde das „“ bei dem Wort „“ vergessen, so dass es „ “ lautet. In der ersten Zeile nach der Anrede wurde bei dem Wort „ändernde“ der Buchstabe „d“ vergessen, so dass es „änderne“ heißt, bei dem Wort „veranlassten“ wurde hingegen ein zusätzliches „n“ eingefügt, so dass es „vernanlassten“ heißt.

Können wir Ihnen in einem ähnlichen Fall behilflich sein? Vereinbaren Sie einen Termin unter 02732 791079 oder fordern Sie unsere Ersteinschätzung online an.

Das Schreiben enthält ferner Merkmale, die in keinem Schreiben der Beklagten auftauchen: Die Beklagte bezeichnet sich im Logo mit „“ und nicht wie in dem Schreiben vom 19.04.2021 angegeben mit „“. In der Absenderzeile über der Anschrift wird bei echten Schreiben der Beklagten die Straße der Hauptgeschäftsstelle „“ angegeben oder „“. In dem Schreiben vom 19.04.2021 wurde lediglich ein unkorrektes Postfach „Postfach “ aufgeführt, zudem ohne Postleitzahl und Ort.

In echten allgemeinen Schreiben der Beklagten wird als Schlussformel lediglich „Freundliche Grüße “ verwendet, es werden hingegen nicht die Unterschriften von Personen aufgeführt. Die auf dem Schreiben vom 19.04.2021 genannten r Herren und existieren bei der Beklagten nicht.

Bei echten Schreiben der Beklagten werden ferner immer die Kontaktdaten, die Vorstandsmitglieder und der Aufsichtsratsvorsitzende aufgeführt sowie die Registerdaten und die Bankverbindung angegeben. Dies fehlt in dem Schreiben vom 19.04.2021.

Die Nummer ist das ehemalige Fax der Beklagten. Die Nummer existiert bei der Beklagten nicht. Durchwahlen der Hauptgeschäftsstelle der Beklagten sind ausnahmslos dreistellig, Durchwahlen der Geschäftsstelle in sind nur zweistellig.

Ferner bestehen zwischen dem Betrugsschreiben vom 19.04.2021 und dem echten Schreiben der Beklagten vom 23.04.2021 Unterschiede in der Vorgehensweise zur Umstellung des TANVerfahrens. Bereits der Name des Verfahrens ist unterschiedlich, die geschilderte Vorgehensweise zur Freischaltung ist ebenfalls voneinander abweichend: einmal (zutreffend) per App, im betrügerischen Schreiben durch Aufruf der Internetadresse Die Web-Adresse der Beklagten endet nicht mit „net“, sondern mit „de“. Die Parteien haben vertraglich vereinbart, dass die technische Verbindung zum Internetangebot der Beklagten zum Schutz vor Missbrauch ausschließlich über die Adresse über herzustellen ist.

Die App-ID der Banking App ist in dem Betrugsschreiben vom 19.04.2021 mit „ „ angegeben, die richtige App-ID, die im Schreiben der Beklagten vom 23.04.2021 angegeben ist, lautet „“. In dem Schreiben der Beklagten vom 23.04.2021 wird explizit darauf hingewiesen, dass die angegebene App-ID auf Korrektheit zu prüfen ist.

Die Beklagte warnt seit 2017 auf ihrer Website unter den Sicherheitshinweisen, welche die Kläger aufgrund vertraglicher Vereinbarung beachten müssen, vor Anrufern von Betrügern, die sich als angebliche Mitarbeiter der Bank ausgeben, wobei im Display eine Telefonnummer erscheint, die auf den ersten Blick einer Nummer der Beklagten gleicht. Seit 2020 warnt die Beklagte dort zudem vor Phishing-Briefen, die den Aufruf enthalten, vom mobileTANVerfahren zur TAN-App zu wechseln, wobei sich die Empfänger auf einer Phishing-Webseite anmelden sollen, ebenso vor Phishing sowohl per Brief als auch per Telefon, mit dem Betrüger versuchen, für Bankkunden das TAN-App-Verfahren einzurichten, wobei sich die Kunden auf einer Phishing-Website anmelden sollen.

Die Kläger behaupten, die Klägerin zu 1) und der Kläger zu 2) hätten keinerlei Codes am Telefon genannt.

Die Kläger behaupten, auf dem PC der Klägerin zu 1) sei ein Virenprogramm von und zusätzlich ein weiteres, handelsübliches Virenprogramm installiert gewesen.

Die Kläger sind der Ansicht, es liege ihrerseits keine grobe Fahrlässigkeit vor. Das Schreiben vom 19.04.2021 sei täuschend echt gewesen.

Die Beklagte sei verpflichtet gewesen, in dem Schreiben vom 23.04.2022 darauf hinzuweisen, dass man die Zugangsdaten nur dann erhalte, wenn man sie zuvor selbst angefordert habe. Zudem sei die Telefonnummer, von der die Anrufe auf das Handy des Klägers zu 2) gekommen seien, die Telefonnummer der Beklagten.

Die Kläger würden daher gem. § 675v BGB nur begrenzt auf 50,00 € haften. Dies betreffe jeweils die Klägerin zu 1) und den Kläger zu 3). Da der Kläger zu 2) ein Gemeinschaftkonto mit der Klägerin zu 1) gehabt habe, hafte er nur mit 25,00 €.

Die Kläger beantragen zuletzt,

I. Die Beklagte wird verurteilt,

Dem Konto der Klägerin zu 1) bei der Beklagten Nr. den Betrag i. H. v. 2.202,00 EUR nebst Zinsen i. H. v. 5 Prozentpunkten über dem Basiszinssatz seit dem 10.5.2021 gutzuschreiben.

Dem gemeinsamen Konto der Klägerin zu 1) und des Klägers zu 2) bei der Beklagten Nr. den Betrag i. H. v. 4.973,00 EUR nebst Zinsen i. H. v. 5 Prozentpunkten über dem Basiszinssatz seit dem 10.5.2021 gutzuschreiben.

Dem Konto des Klägers zu 3) bei der Beklagten Nr. den Betrag i. H. v. 12.942,00 EUR nebst Zinsen i. H. v. 5 Prozentpunkten über dem Basiszinssatz seit dem 10.5.2021 gutzuschreiben.

II. Die Beklagte zu verurteilen, die Kläger vorgerichtliche Anwaltsgebühren i. H. v. 876,67 EUR nebst Zinsen i. H. v. 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu zahlen.

Die Beklagte beantragt zuletzt, die Klage abzuweisen.

Die Beklagte trägt vor, sie gehe davon aus, dass die Täter per Phishing an die Daten der Kläger gekommen sein und anschließend das Verfahren bei der Beklagten beantragt hätten.

Die Beklagte ist der Ansicht, die Kläger hätten grob fahrlässig gehandelt:

Das Schreiben vom 19.04.2021 weise „massive“ Rechtschreibfehler auf. Das Schreiben enthalte ferner Merkmale, die in keinem Schreiben der Beklagten auftauchen würden, was die Kläger aufgrund der rund 20-jährigen Kundenbeziehung zur Beklagten hätten wissen müsse.

Der Erhalt des Netkey und der Online Banking PIN der Kläger, welche für die Anforderung der sogenannten Freischaltcodes für das -Verfahren erforderlich seien, sei nur dann möglich, wenn die Kläger auf ihrem PC und / oder Handy keinen ausreichenden Virenschutz installiert gehabt hätten oder die Sicherheitsvorkehrungen zur Geheimhaltung dieser Wissenselemente missachtet hätten.

Ferner bestünden zwischen dem Betrugsschreiben vom 19.04.2021 und dem echten Schreiben der Beklagten vom 23.04.2021 derart gravierende Unterschiede in der Vorgehensweise zur Umstellung des TAN-Verfahrens, dass dies bei einem einfachen Durchlesen der Klägerin zu 1) habe auffallen müssen.

Ferner seien die Kläger vertraglich verpflichtet gewesen, nach Beendigung des Telefonats vom 29.04.2021 der Beklagten den Speicherinhalt ihres Telefons, welche über einen Nummernspeicher verfügt, zu überspielen.

Die Beklagte ist der Ansicht, sie habe einen Schadensersatzanspruch gegen die Kläger gem. § 675v Abs. 3 Nr. 2 BGB i.V.m. § 675l BGB. Mit diesem hat sie vorsorglich die Aufrechnung gegen die Klageforderung erklärt.

Hinsichtlich der weiteren Einzelheiten wird Bezug genommen auf die Schriftsätze der Parteien nebst Anlagen sowie auf das Protokoll der mündlichen Verhandlung vom 03.02.2022.

Entscheidungsgründe

I.

Die zulässige, §§ 12, 17 Abs. 1 ZPO, Klage ist unbegründet.

1. Wie die Beklagte im Rahmen der mündlichen Verhandlung angab (insoweit versehentlich nicht protokolliert), haben die Kläger keine Konten mehr bei der Beklagten. Die Klagepartei hat im Rahmen der mündlichen Verhandlung bestätigt, dass ihre Konten bei der Beklagten von dieser gekündigt worden seien. Die Kläger verfügen damit über keine Konten bei der Beklagten mehr. Der Klageantrag ist daher von vornherein auf eine nicht (mehr) mögliche Gutschrift, da eine Gutschrift auf nicht mehr existente Konten, gerichtet.

2. Den Klägern steht kein Anspruch gegen die Beklagte auf Gutschrift oder anderweitige Erstattung der von ihren Konten bei der Beklagten im Zeitraum vom 01. bis 03.05.2021 durch Betrüger überwiesenen Beträgen zu.

Die den Klägern insoweit – mangels autorisierter Überweisung – zustehende Anspruch gegen die Beklagte gem. §§ 675u S. 2, 675j BGB, ist infolge der wirksamen Aufrechnung der Beklagten mit dem ihr gegen die Kläger zustehenden Schadensersatzanspruch gem. §§ 675v Abs. 3 Nr. 2, 675l BGB, erloschen, § 389 BGB.

Die Klägerin zu 1), deren Handeln sich die Kläger zu 2) und 3) gem. § 278 Abs. 1 BGB zurechnen lassen müssen, hat bei der „Aktivierung“ durch Eingabe des Freischaltcodes auf der Internetseite „“ ihre Pflichten gem. § 675l BGB verletzt und dabei grob fahrlässig gehandelt.

Die Kläger waren vertraglich dazu verpflichtet, nur bestimmte Websites im Online-Banking – Verkehr mit der Beklagten zu nutzen („“ bzw. „t“). Die von der Klägerin zu 1) aufgerufene Website „ “ wich davon ab.

Die Kammer verkennt nicht, dass die Beklagte selbst zur Aktivierung des – Verfahrens die Nutzung einer App und nicht den Aufruf einer bestimmten Website vorsah; dies liegt jedoch in der Natur der Sache: Das sogenannte -Verfahren stellt ja gerade die Nutzung des Online-Banking-Verfahrens mittels einer App dar.

Soweit die Kläger in dem – in soweit nicht nachgelassenen – Schriftsatz vom 18.02.2022 nicht mehr berücksichtigungsfähig, § 296a ZPO, vortragen, die Beklagte habe auch in anderen Schreiben andere Webseiten abgegeben, ist lediglich ergänzend darauf hinzuweisen, dass sich das Schreiben der Beklagten vom 18.12.2019 (Anlage K8) nicht auf das Online-Banking bezieht, sondern den Zahlungsverkehr mit einer im Online-Handel.

Durch die Eingabe des Freischaltcodes auf der Webseite „t“ hat die Klägerin ihre Pflichten gem. § 675l BGB daher verletzt und handelte hierbei grob fahrlässig.

Grobe Fahrlässigkeit liegt vor, wenn der Handelnde die geltenden Sorgfaltsanforderungen in besonders schwerem Maß verletzt, schon ganz nahe liegende Überlegungen nicht anstellt und das nicht beachtet, was im gegebenen Fall jedem hätte einleuchten müssen.

Es ist der Klagepartei zuzugeben, dass die Rechtschreibfehler in dem – nicht von der Beklagten herrührenden – Schreiben vom 19.04.2021 überlesen werden können. Auch die Abweichungen hinsichtlich des verwendeten Logos, der Adresse, der Kontaktangaben und der Unterschrift sind für sich betrachtet jeweils nicht gravierend. Auch in der Zusammenschau dieser Umstände allein reichen diese Abweichungen nach Auffassung der Kammer noch nicht für die Annahme einer groben Fahrlässigkeit seitens der Klägerin zu 1) aus.

Jedoch weicht das Verfahren zur Freischaltung, welches in den Schreiben vom 19.04.2021 geschildert wird, derart von dem Verfahren zur Freischaltung, das im (echten) Schreiben der Beklagten vom 23.04.2021 geschildert wird, ab, dass die Klägerin zu 1) nicht einfach hätte darüber hinweg gehen dürfen. Es drängt sich bei zwei derartig unterschiedlichen Verfahren, die in nur 4 Tagen auseinanderliegenden Schreiben geschildert werden und zudem ein standardisiertes Verfahren betreffen, auf, dass hier eines der geschilderten Verfahren nicht von der Beklagten stammen kann.

Ferner hat es die Klägerin zu 1) unterlassen, die auf beiden Schreiben angegebene App.-ID auf ihre Übereinstimmung hin zu überprüfen. Hätte sie dies getan, hätte sie festgestellt, dass diese nicht übereinstimmen (“ “ und „“). Dies unterlassen zu haben, obwohl es sich beim Online-Banking um höchst sensible Daten handelt, die allgemein bekannt immer wieder Angriffsversuchen von Betrügern unterliegen, stellt eine grob fahrlässige Unterlassung der Klägerin dar.

Hätte die Klägerin zu 1) die App.-ID oder auch nur die geschilderte Verfahrensweise zur Freischaltung verglichen, wären ihr die Unterschiede aufgefallen und es hätte sich ein zwingender Rücksprachebedarf mit der Beklagten ergeben.

Die Klägerin zu 1) hat dies jedoch unterlassen und statt dessen entgegen ihrer vertraglichen Verpflichtung die Webadresse „“ aufgerufen und dort die ihre mit dem Schreiben der Beklagten vom 23.04.2021 übermittelten Daten eingegeben.

Die Pflichtverletzung der Klägerin zu 1) war auch ursächlich für den Eintritt des konkreten Schadens.

Die Klagepartei hat selbst den unmittelbaren zeitlichen Zusammenhang mit den nachfolgenden nicht von den Klägern autorisierten Überweisungen der Beklagten geschildert. Bereits daraus ergibt sich die Kausalität des Handels der Klägerin zu 1) für den nachfolgend eingetretenen Schaden. Im Übrigen ergibt sich diese aus der lebensnahen Betrachtung des Vorgangs. Es liegt auf der Hand, dass ohne die Preisgabe des Freischaltcodes auf der betrügerischen Website die Betrüger keine Überweisungen von den Konten der Kläger hätten veranlassen können.

Soweit die Klagepartei ein Mitverschulden der Bank darin erblickt, dass diese in dem Schreiben vom 23.04.2021 weder darauf hingewiesen hat, dass die Übersendung nur auf eine Anforderung der Beklagten hin erfolge, noch darauf, dass gefälschte Schreiben im Umlauf seien, teilt die Kammer diese Ansicht nicht.

Die Beklagte hat auf ihrer Homepage auf entsprechende Phishing-Vorgänge hingewiesen. Die Kläger selbst hatten sich im Rahmen des Online-Banking-Vertrages dazu verpflichtet, regelmäßig von den Warnhinweisen der Beklagten auf der Homepage Kenntnis zu nehmen. Weitere diesbezügliche Hinweise schuldete die Beklagte nicht.

Auch das Unterlassen eines Hinweises, dass der Freischaltcode nur auf entsprechende Anforderung hin versandt wird, führt nicht zu einem Mitverschulden der Beklagten. Unabhängig davon, dass die Kläger selbst bestritten haben, dass der Freischaltcode nur versandt wird, wenn er angefordert wurde (Seite 3 des Schriftsatzes vom 04.11.2021, Bl. 32 d.A.), liegt eine Pflichtverletzung der Beklagten insoweit schlicht nicht vor. Es mag sein, dass ein solcher Hinweis wünschenswert wäre, an einer rechtlichen Verpflichtung der Beklagten hierzu mangelt es jedoch.

Soweit die Kläger ferner in dem Schriftsatz vom 18.02.2022 – insoweit ebenfalls nicht nachgelassen und daher nicht berücksichtigungsfähig – mutmaßen, es könne auch eine Sicherheitslücke bei der Beklagten vorliegen, durch welche die Täter an die Adressdaten (und auch wohl der sonstigen Zugangsdaten) der Kläger gekommen seien, handelt es sich ohnehin nur um eine Mutmaßung, nicht jedoch um einen konkreten Tatsachenvortrag. Auch insoweit liegt daher kein Mitverschulden der Beklagten vor.

Der Beklagten steht gegen die Kläger daher ein Schadensersatzanspruch gem. §§ 675v Abs. 3 Nr. 2, 675l BGB zu, mit dem sie wirksam gegen den Anspruch der Kläger aufgerechnet hat, §§ 387, 388, 389 BGB. Der Anspruch der Kläger ist daher erloschen, die Klage ist folglich abzuweisen.

II.

Die Kostenentscheidung beruht auf § 91 Abs. 1 ZPO.

III.

Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf § 709 S. 1, 2 ZPO.