Contact for English speaking clientsBetrugsfall im Onlinebanking: Kläger fordern Wiedergutschrift
Ein Fall von Betrug im Onlinebanking beschäftigt die Gerichte. Die Kläger verlangen von ihrer Bank die Wiedergutschrift von Kontobelastungen, die ohne ihre Autorisierung erfolgt sein sollen. Die Bank bestreitet die Vorwürfe und beruft sich auf die Vereinbarung zur Nutzung des Zahlungssystems und die allgemeinen Geschäftsbedingungen.
Verdächtige Kontobewegungen
Am 10. April 2021 kam es auf dem Konto der Kläger zu insgesamt fünf Rücklastschriften und zwei Echtzeitüberweisungen. Die Kläger behaupten, diese Kontoverfügungen seien ohne ihre Autorisierung erfolgt und die Verfügungsempfänger seien ihnen nicht bekannt.
Bankmitarbeiter oder Betrüger?
Die Kläger wurden am selben Tag von einem vermeintlichen Bankmitarbeiter kontaktiert, der sie dazu aufforderte, sich für ein neues Verfahren zu registrieren. Dieser Mitarbeiter kannte die persönlichen Daten der Kläger und bat sie um die Übermittlung von Transaktionsnummern (TANs). Die Kläger übermittelten zwei TANs.
Bank weist Vorwürfe zurück
Die Bank bestreitet die Vorwürfe und behauptet, dass die streitgegenständlichen Verfügungen autorisiert erfolgt seien, da der Kläger TANs dem vermeintlichen Täter zur Verfügung gestellt habe. Die Bank geht davon aus, dass das verwendete Sicherheitssystem ausreichend ist und sie regelmäßig ihre Sicherheitsmaßnahmen überprüft.
Gerichtsurteil
Das Gericht entschied, dass die Klage unbegründet ist. Es stellte fest, dass die Kläger ihre Sorgfaltspflicht verletzt haben, indem sie TANs an den unbekannten Täter weitergaben. Die Kläger handelten grob fahrlässig und verursachten somit den Schaden. Daher steht der Bank ein Schadensersatzanspruch zu.
Grob fahrlässiges Handeln der Kläger
Die Kläger handelten grob fahrlässig, da sie ungewöhnliche Umstände nicht beachteten. Der Kläger zu 2) ist erfahren im Umgang mit Online-Überweisungen und hätte erkennen müssen, dass die Situation ungewöhnlich war. Die Herausgabe von TANs zur Registrierung für ein Verfahren ist unüblich.
Verfahrensänderung und Sicherheitshinweise
Die Kläger waren sich nicht sicher, ob eine Verfahrensänderung angekündigt wurde, und hätten stutzig werden sollen. Banken, wie die Beklagte, geben ihren Kunden regelmäßig Sicherheitshinweise, dass PINs und TANs nicht telefonisch oder schriftlich abgefragt werden.
Phishing-Attacken und intellektuelle Fähigkeiten
Phishing-Attacken sind in den Medien präsent, und Bankkunden sollten alarmiert sein. Der Kläger zu 2) verstand die Bedeutung von PINs und TANs und hätte entsprechend handeln sollen.
Abweichung vom üblichen Modus und strikte Vorgaben
Der Sachverhalt wich stark vom üblichen Verfahren ab und betraf eine vermeintliche „Verfahrensänderung“. Betrüger agieren oft professionell, um Kunden zur Herausgabe von Sicherheitsvorkehrungen zu bewegen. Daher ist es wichtig, TANs und PINs nie außerhalb der vereinbarten Prozesse herauszugeben.
Klageabweisung und Kostenentscheidung
Die Klage wurde abgewiesen, und die Kostenentscheidung folgt aus § 91 ZPO. Die Entscheidung zur vorläufigen Vollstreckbarkeit basiert auf § 709 S. 1, 2 ZPO.
Urteil im Volltext
LG Frankfurt – Az.: 2-12 O 202/21 – Urteil vom 12.04.2022
I. Die Klage wird abgewiesen.
II. Die Kläger haben die Kosten des Rechtsstreits zur tragen.
III. Das Urteil ist gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrages vorläufig vollstreckbar.
Tatbestand
Die Kläger begehren von der Beklagten die Wiedergutschrift von Kontobelastungen.
Die Kläger unterhalten bei der Beklagten ein Girokonto mit der Konto-Nr. …. Für dieses Konto bestand ein Zugang im Onlinebanking. Überweisungen im Onlinebanking wurden im sog. C.-T.-Verfahren durchgeführt. Dieses Verfahren funktioniert in der Weise, dass T.s mittels T.-Generator unter Zuhilfenahme der original Sparkassencard erzeugt werden. Die dem Kunden ausgehändigte S.kassen-Card ist dabei in das Gerät einzuführen. Auf der Grundlage des Chips und der entweder händisch oder in den Generator eingegebenen Daten wird die konkrete, dynamische und auftragsbezogene T. errechnet. Danach wird im Regelfall im Display des T.-Generators für jeden Auftrag einzeln angezeigt, für welche konkrete Transaktion die dynamisch erzeugte T. dient.
Am 10.04.2021 kam es insgesamt zu 5 Rücklastschriften und 2 Echtzeitüberweisungen auf dem Konto der Kläger. Im Einzelnen handelte es sich um Überweisungen in Höhe von € 4.044,00 und € 29.129.00. Darüber hinaus handelte es sich um Rücklasten in Höhe von zweimal € 445,94, € 688,80, € 954,73 und € 1.523,00 €.
Die Kläger behaupten, diese Kontoverfügungen seien ohne ihre Autorisierung erfolgt. Die Verfügungsempfänger seien ihnen nicht bekannt.
Den Verfügungen vorausgegangen sei der Umstand, dass den Klägern am 10.04.2021 per Email die Kontaktaufnahme durch die Beklagte angekündigt worden sei sowie der Erhalt eines Briefes mit einer PIN-Nummer. Es sei darum gegangen, dass sich die Kläger noch nicht für das S.-Verfahren registriert hätten, was nunmehr geschehen müsse. Tatsächlich sei den Klägern ebenfalls am 10.04.2021 ein Brief zugegangen, der dem üblichen Briefauftritt der Beklagten entsprochen habe. Eine PIN zum Aufrubbeln sei dort enthalten gewesen sowie die Mitteilung, dass ein Herr K., ein vermeintlicher Mitarbeiter der Beklagten, sich melden würde. Tatsächlich erfolgte am 10.04.2021, ein Samstag gegen 18.00 Uhr ein Anruf durch einen Herrn K.. Der vermeintliche Mitarbeiter K. kannte die übliche Sachbearbeiterin der Kläger, eine Frau H.. Er habe den PIN genannt, der in dem Brief enthalten sei und habe auch die Kontendaten der Kläger im Übrigen gekannt. Er sei auch bereits im Konto der Kläger eingeloggt gewesen. Der vermeintliche Mitarbeiter K. habe sodann um Übermittlung von T.s gebeten. Der Kläger habe 2 T.s übermittelt. Zudem habe der vermeintliche Mitarbeiter K. dem Kläger gesagt, dass das Konto erst wieder am Montag ab 19.00 Uhr zugänglich sei. Tatsächlich habe der Kläger aber erst dienstags wieder online in sein Konto Einblick nehmen können und habe die streitgegenständlichen Verfügungen bemerkt. Sofort habe er die Beklagte informiert.
Die Kläger sind der Auffassung, dass die Beklagte nach § 675 u Satz 2 BGB für die erfolgten Verfügungen hafte. Eine Autorisierung für die Verfügung hätten die Kläger nicht erteilt. Die Beklagte treffe die Darlegungs- und Beweislast nach § 675 w BGB für eine erfolgte Authentifizierung. Ebenfalls sei zu bestreiten, dass die Verfügungen ordnungsgemäß aufgezeichnet und verbucht worden seien und keine Störungen vorhanden gewesen seien. Auf den Anscheinsbeweis könne sich die Beklagte vorliegend nicht berufen, da es sich offensichtlich um einen Betrugsvorgang handle und damit ein atypischer Geschehensablauf vorliege.
Jedenfalls könne die Beklagte die Kläger nicht auf Schadensersatz in Anspruch nehmen, da ihnen der Vorwurf der groben Fahrlässigkeit nicht zu machen sei. Eine Gesamtschau sei vorzunehmen und dabei sei insbesondere zu berücksichtigen, dass ein mit hoher krimineller Energie eingefädelter Betrugsvorgang vorgelegen habe. Der Anrufer habe sogar Bezug genommen auf die eigentliche Sachbearbeiterin, Frau H., und auch deren Telefonnummer benutzt. Da ihm auch die Kontendaten bekannt gewesen seien, muss der Täter in der Sphäre der Beklagten die Daten erspäht haben. Der Beklagten sei auch der Vorwurf des Mitverschuldens zu machen.
Die Kläger beantragen,
1. Die Beklagte wird verurteilt, auf dem Konto der Kläger bei der Beklagten Nr … € 33.173 mit Wertstellung zum 10.04.2021 wieder gutzuschreiben.
2. Die Beklagte wird verurteilt, an die Klägerin vorgerichtliche Rechtsanwaltskosten in Höhe von € 2.242,91 zzgl. 5 % Punkten über dem jeweiligen Basiszinssatz der EZB Zinsen p. a. seit Rechtshängigkeit zu zahlen.
Die Beklagte beantragt, die Klage abzuweisen.
Die Beklagte behauptet, die Vereinbarung zur Nutzung des Zahlungssystems im Wege des C.-T.-Verfahrens sei erfolgt auf der Basis der ebenfalls vereinbarten allgemeinen Geschäftsbedingungen zum Onlinebanking. Wenn die Kläger nunmehr die Einbeziehung der AGB bestreiten, sei dies unerheblich, denn die AGB entsprächen auch der Gesetzeslage.
Im Hauptvortrag stützt sich die Beklagte darauf, dass die streitgegenständlichen Verfügungen autorisiert erfolgt seien, denn der Kläger habe T.s dem vermeintlichen Täter zur Verfügung gestellt. Jede Verfügung, auch die Rücklastschriften, seien durch eine generierte T. ausgeführt worden. Die Bekanntgabe von PIN und TAN stellten eine Autorisierung dar, denn dieser Prozess sei zwischen den Parteien vereinbart worden. Ein Anspruch nach § 675 u Satz 2 BGB scheide daher aus, denn eine Autorisierung im Sinne von § 675 j I Satz 3, 4 liege vor.
Jedenfalls sei die Haftung der Beklagten nach § 676 c BGB ausgeschlossen. Die Beklagte ging bislang davon aus, dass das C.-T.-System – anders etwa als eine Unterschriftenfälschung – nicht vorkomme. Die Beklagte behauptet, dass sie auch regelmäßig ihr Sicherheitssystem überprüfe. Auch im vorliegenden Fall seien auf Grund des C.-T.-Systems die streitgegenständlichen Buchungen ordnungsgemäß auf ihre Autorisierung hin überprüft und verbucht worden.
Jedenfalls seien die Verfügungen nur nachvollziehbar unter der Annahme, dass die Kläger ihre Pflichten aus dem C.-T.-Verfahren verletzt haben. Die Beklagte hat daher unstreitig am 03.05.2021 mit einem Schadensersatzanspruch aufgerechnet. Der Anspruch der Beklagten aus Schadensersatz folge aus § 675 v III BGB. Die Kläger hätten den Schaden grob fahrlässig verursacht. Nach § 675 I müsse der Kunde die Instrumente für den Zahlungsverkehr strikt einhalten. Vorliegend sei es so, dass im Rahmen der Generierung einer T. der Überweisungsvorgang angezeigt werde. So sei es auch bei den hier streitgegenständlichen Verfügungen gewesen. Den Klägern hätte also bewusst sein müssen, in dem Moment, wo unstreitig eine T. weitergeben werde, dass diese für den gleichzeitig aufgerufenen und angezeigten Vorgang verwendet werde. Die Kläger hätten auch nicht nur 2, sondern 7 T.s zur Verfügung gestellt. Darüber hinaus sei zu bedenken, dass die Beklagte in ihrem Onlineportal beim Onlinebanking ständig darauf hinweise, dass zu keinem Zeitpunkt die Bank per Telefon PIN und T.s abfragen werde.
Die Beklagte erhebt den D. A. Einwand. Darüber hinaus sei auch zu bedenken, dass ein Schadensersatz aus § 280 BGB folge.
Entscheidungsgründe
Die zulässige Klage ist unbegründet.
Ob den Klägern ein Anspruch auf Gutschrift nach § 675 u S. 2 BGB zusteht, was der Fall wäre, wenn die streitgegenständlichen Zahlungsvorgänge unautorisiert im Rechtssinne erfolgt wären, kann letztlich dahinstehen. Jedenfalls steht der Beklagten ein Schadensersatzanspruch nach § 675 v III BGB zu, der im Wege des d. a. Einwandes dem Anspruch auf Gutschrift entgegengehalten werden kann.
Nach § 675 v III, Ziffer 2 BGB ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorganges entstanden ist, wenn der Zahler den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung (a) einer oder mehrerer Pflichten gemäß § 675 I I oder (b) einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstrumentes
Die Kläger bestreiten zwar dass die AGB für das Online-Banking vereinbart worden seien. Dies ist in Anbetracht der beklagtenseits vorgelegten Verträge unter konkretem Verweis auf diese Bedingungen, wie auch jene zum online-banking (Bl. 125 d.A.), nicht nachvollziehbar, denn die Kläger haben den Erhalt quittiert. In Anbetracht dessen kann durch einfaches Bestreiten die Einbeziehung nicht in Streit gestellt werden.
Allerdings kann dies dahinstehen, denn auch nach dem Gesetz, im Einzelnen § 675 I I BGB, ist der Zahlungsdienstnutzer verpflichtet, unmittelbar nach Erhalt eines Zahlungsinstrumentes alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugten Zugriff zu schützen. Die von dem Zahlungsdienstnutzer zu erwartende angemessene Sorgfalt besteht hier darin, Zugangsdaten niemanden auf Nachfrage anzuvertrauen, sei es am Telefon, in E-Mails oder im Internet (vgl. BeckOK. Stand 01.10.2021, § 675 I, Rn. 93). Vorliegend haben die Kläger unstreitig T.s generiert und jedenfalls zwei davon dem unbekannten Täter telefonisch mitgeteilt. Dies stellt eine Pflichtverletzung dar.
Dieser objektive Pflichtenverstoß der Kläger führt nur dann zu einem Schadensersatzanspruch der Beklagten, wenn der Pflichtenverstoß vorsätzlich oder grob fahrlässig erfolgt ist.
Grob fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt in ungewöhnlich groben Maße verletzt und auch ganz naheliegende Überlegungen nicht anstellt oder das nicht beachtet, was im konkreten Fall jedem hätte einleuchten müssen. Zu beachten ist, dass anders als bei einfacher Fahrlässigkeit, die nach einem ausschließlich objektiven Pflichtenmaßstab beurteilt wird, bei grober Fahrlässigkeit auch subjektive, in der Individualität des jeweils Handelnden begründete Umstände zu berücksichtigen sind. Danach können auch Unerfahrenheit und Unbeholfenheit grobe Fahrlässigkeit ausschließen. Grobe Fahrlässigkeit erfordert daher einen in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt. Selbst ein objektiv grober Pflichtenverstoß rechtfertigt aber für sich noch keinen zwingenden Schluss auf ein entsprechend gesteigertes personales Verschulden (Maihold in Schimansky/Bunte/Lowski, Bankrechts-Handbuch, 2017, § 55, Rn. 108; BGH, Urteil vom 26.01.2016, AZ XI ZR 91/14, Rn. 71).
Wertet man die Rechtsprechung und Kommentarliteratur zu der Frage aus, ob die telefonische Weitergage von T.s ein Fall von grober Fahrlässigkeit ist, so wird dies im Regelfall bejaht (vgl. Maihold. a.a.O. Rn. 117; Münchener Kommentar, 2020, § 675 v. Rn. 54; BeckOK, 2021, § 675 I, Rn. 93; LG Köln, Urteil vom 30.07.2015, AZ 15 O 505/14; LG Köln, Urteil vom 10.09.2019. AZ 21 O 116/19; OLG München, Urteil vom 23.01.2012. Az 17 U 3527/11). Nichts desto trotz ist der Einzelfall zu beurteilen.
Im vorliegenden Fall muss das Handeln der Kläger im Rahmen einer vorzunehmenden Gesamtschau allerdings auch als grob fahrlässig bewertet werden. Diese Bewertung folgt aus dem Umstand, dass der Kläger zu 2), hier handelnd auch für die Klägerin zu 1), ungewöhnliche Umstände nicht beachtet hat, deren Besonderheiten sich aber aufgedrängt haben.
Zunächst geht die Kammer davon aus, dass der Kläger zu 2) weder unbedarft noch unerfahren im Umgang mit dem online-banking ist. Nach dem klägerischen Vortrag wird das online-banking seit 2002 praktiziert. Zwar sagte der Kläger zu 2) in seiner informatorischen Anhörung aus, dass primär die Klägerin zu 1) dafür zuständig sei. Allerdings sagte er auch aus, dass es immer so sei, dass eine IBAN und die Überweisungssumme im T.-Generator genannt werden und dies nur dieses mal anders gewesen sei. Auf Grund dieser Einlassung geht die Kammer davon aus, dass der Kläger zu 2) sehr wohl erfahren im Umgang mit online-Überweisungen ist und dass er sich des grundsätzlichen Umstandes bewusst ist, dass eine T. grundsätzlich einer bestimmten Überweisung zugeordnet ist.
T.s werden auch einzig für den Zweck der Vornahme von Überweisungsvorgängen generiert. Es war daher bereits in hohem Maße ungewöhnlich, dass T.s herausgegeben werden sollten, um sich für ein Verfahren zu registrieren. Dies gilt erst Recht vor dem Hintergrund, dass sich der Kläger gar nicht sicher war. ob diese Verfahrensänderung vorher angekündigt wurde. Der Kläger führte im Rahmen seiner informatorischen Anhörung auf Nachfrage des Gerichtes aus, dass er „meint“, dass das Verfahren mittels Email vorher angekündigt worden sei, war sich aber nicht sicher. Auf Grund dieser Aussage steht daher für die Kammer nicht fest, dass eine Verfahrensänderung überhaupt vorher angekündigt wurde, zumal auch im Dunkeln blieb, was ein S.-Verfahren überhaupt ist. Jedenfalls werden im Onlinebanking üblicherweise „Arbeiten im System“ mit Vorlauf im Rahmen des online-bankings vorher angekündigt, aber niemals im Wege einer Emailnachricht. Dies hätte auffallen müssen.
Des Weiteren ist darauf zu verweisen, dass Banken, wie auch die Beklagte, regelmäßig sogenannte Sicherheitshinweise den Kunden erteilen, wonach PINs und T.s zu keinem Zeitpunkt telefonisch oder schriftlich abgefragt werden. Auch die Beklagte hat in der Klageerwiderung dargelegt, dass sie ihre Kunden regelmäßig mit derartigen Hinweisen sensibilisiert. Der Kläger bestreitet dies zwar, allerdings ist das einfache Bestreiten an dieser Stelle nicht hinreichend substantiiert, da es sich insoweit um gerichtsbekannte Umstände handelt und nicht ernsthaft in Zweifel gezogen werden können.
Schließlich sind Pishing Attacken Gegenstand der medialen Berichterstattung, so dass grundsätzlich davon auszugehen ist. dass ein durchschnittlich orientierter Bankkunde ohnehin alarmiert ist und weiß, dass individualisierte Sicherheitsvorkehrungen wie PINs und TANs nie auf Nachfrage telefonisch oder per Email herausgegeben werden dürfen, da der Empfänger der Nachricht im Zeitpunkt der Herausgabe nicht identifizierbar ist und ohne weiteres mit einem Alias auftreten kann.
Die Kammer konnte sich ein Bild von dem Kläger zu 2) im Rahmen der informatorischen Anhörung machen und hat keinen Zweifel daran, dass der Kläger zu 2) intellektuell in der Lage ist, grundsätzlich die Zusammenhänge und die Bedeutung von PINs und T. zu verstehen und entsprechend zu handeln.
Damit ist festzustellen, dass der zu beurteilende Sachverhalt eklatant vom üblichen Modus des C.T. Verfahrens abgewichen ist. Es ging –vorgetäutscht- gerade nicht um eine Überweisung, sondern um eine „Verfahrensänderung“, die, wenn überhaupt, nur per Email angekündigt war.
Die Kammer verkennt nicht, dass der oder die Täter äußerst professionell vorgegangen sind. Aber leider gehört dies zum Repertoire der Betrüger, eine vermeintlich schlüssige Geschichte zu erzählen, um die Kunden zu Überrumpeln und diese zur Herausgabe der individuellen Sicherheitsvorkehrungen zu veranlassen. Bekannt ist, dass nicht nur Internetseiten kopiert werden, sondern auch Telefonnummern vorgetäuscht werden können, um den Kunden ein vertrautes Umfeld vorzuspielen. Umso wichtiger ist daher, dass die strikte Vorgabe eingehalten wird, T.s und PINs nie außerhalb der vereinbarten Prozesse heraus zu geben.
Der Einwand des Mitverschuldens greift nicht. Abgesehen davon, dass das C.T. verfahren als sicher gilt (vgl. BGH, Urteil vom 26.01.2016, AZ XI ZR 91/14, Rn. 35) überwiegt hier der Kardinalfehler der Kläger, die Herausgabe der personalisierten Sicherungsparameter.
Im Ergebnis unterlag die Klage daher der Abweisung.
Die Kostenentscheidung folgt aus § 91 ZPO.
Die Entscheidung zur vorläufigen Vollstreckbarkeit hat ihre Grundlage in § 709 S. 1, 2 ZPO.
