Wenn Kunden beim Online-Banking Opfer von Betrügern geworden sind, muss dafür unter Umständen die Bank des Kunden aufkommen. Das gilt aber nicht immer.
Kunden die beim Online-Banking auf Betrüger hereingefallen sind, haben normalerweise gegenüber den Kriminellen einen Anspruch auf Schadensersatz aus § 823 Abs. 2 BGB in Verbindung mit einem Schutzgesetz wie Betrug § 263 StGB oder Computerbetrug § 263a StGB. Dies hilft ihnen in der Praxis allerdings wenig. Denn erst einmal müssen die Täter aufgrund einer Anzeige von der Polizei ermittelt werden. Darüber hinaus ist der Anspruch häufig kaum durchsetzbar, wenn die Täter mittellos sind.
Umso interessanter ist daher die Frage, inwieweit Kunden hier einen Anspruch auf Schadensersatz gegen die eigene Bank haben. Ein solcher Anspruch könnte sich aus § 675u Satz 2 BGB ergeben. Dies setzt voraus, dass es sich um einen nicht autorisierten Zahlungsvorgang handelt. Darüber hinaus ergibt sich allerdings aus § 675v Abs. 3 Nr. 2 BGB, dass der Kunde bei einer missbräuchlichen Verwendung eines Zahlungsinstrumentes den Schaden nicht durch grob fahrlässige Missachtung seiner Pflichten herbeigeführt hat. Wann eine solche Pflichtverletzung vorliegt, dazu gibt es einige interessante Beispiele.
Anruf durch angeblichen Bankmitarbeiter
In einem Fall erhielt ein langjähriger Bankkunde einen Anruf. Der Anrufer behauptete, dass er bei der Bank angestellt und für die Kundenbetreuung zuständig sei. Eine ihm persönlich bekannte Firma aus dem Ausland habe versucht, auf das Konto des Kunden zuzugreifen. Der Angerufene glaubte ihm, weil der Anrufer neben seinem Namen, seiner Adresse und seinem Geburtsdatum auch seine Bankverbindung kannte. Nachdem der Kunde im Anschluss daran anscheinend von einem Unternehmen zur Zahlung aufgefordert worden war, meldete sich der angebliche Mitarbeiter der Bank noch einmal. Er teilte dem Kunden mit, dass erneut ein Dritter versucht habe, auf sein Konto zuzugreifen. Das Konto sei hiergegen hinreichend gesichert. Einige Wochen später erhielt der Kunde ein weiteres Schreiben, dass angeblich von einer N AG stammte. Hierin machte diese eine gar nicht bestehende Forderung gegen ihn geltend. Kurze Zeit danach rief der vermeintliche Bank-Mitarbeiter zum dritten Mal an. Er verlangte vom Kunden, dass er ihm seine PIN und TAN angibt, um sein Konto gegen unberechtigte Abbuchungen aus dem Ausland sichern zu können. Nachdem der Kunde dem nachgekommen war, hoben Unbekannte vom Konto 21.800 Euro ab. Der Kunde verlangte von seiner Bank, dass diese für die unberechtigten Abmahnungen aufkommt.
Das Landgericht Köln wies die Klage des Kunden mit Urteil vom 10.09.2019 - 21 O 116/19 - ab. Die Richter begründeten dies damit, dass er durch die Herausgabe von PIN und TAN an einen ihm Unbekannten grob fahrlässig gehandelt hat. Ungewöhnlich ist, dass eine Bank telefonisch verlangt, dass ein Kunde seine PIN bzw. TAN am Telefon preisgibt. Darüber hinaus ist zu bedenken, dass das Kreditinstitut dies ausdrücklich untersagt hatte.
Aufforderung zur „Testüberweisung“
In einem weiteren Fall war ein Bankkunde heimlich von einem Trojaner ausgespäht worden. Nachdem er sich anscheinend auf der Login-Seite seiner Bank befand wurde er zur Vornahme einer Testüberweisung aufgefordert. Sodann sollte er diese mit der TAN bestätigen, die er zuvor per SMS erhalten hatte. In der Überweisungsmaske stand in den Feldern „Name“, „IBAN“ und „Betrag“ jeweils das Wort „Muster“. Der Kunde bestätigte diese vermeintliche Testüberweisung mit der ihm übersandten TAN. Tatsächlich erfolgte dann aber eine echte Überweisung der 8.000 Euro auf ein polnisches Konto.
Hierzu stellte das Oberlandesgericht Oldenburg mit Beschluss vom 21.08.2017 – 8 U 163/17 in Übereinstimmung mit der Vorinstanz klar, dass der Kunde von seiner Bank keinen Schadensersatz verlangen kann. Denn er hatte nach Ansicht der Richter grob fahrlässig gegen seine Pflichten als Bankkunde verstoßen. Dies ergab sich daraus, dass die Aufforderung zur Eingabe einer TAN zwecks Durchführung einer „Testüberweisung“ derart ungewöhnlich ist, dass er hätte misstrauisch werden müssen. Dies gilt auch deshalb, weil die Bank auf ihrer Webseite vor derartigen Praktiken gewarnt hatte. Darüber hinaus hätte er bei der Übermittlung seiner TAN die Überweisungsdaten, die in der SMS erneut mitgeteilt werden, noch einmal kontrollieren müssen.
Kunde soll mehrere TANs eingeben
Bei einem weiteren Bankkunden war ebenfalls ein Trojaner auf dessen Rechner platziert worden. Nachdem er sich durch Eingabe der PIN auf der Webseite seiner Bank eingeloggt hatte, wurde er über eine eingeblendete Eingabemaske zur Eingabe von insgesamt 120 unterschiedlichen TANs in den Computer aufgefordert. Dies sei angeblich wegen einer Systemumstellung erforderlich. Nachdem er dem nachgekommen war, veranlassten Kriminelle drei Abbuchungen im Wert von insgesamt 770 Euro. Fünf Tage später informierte der Kunde die Bank über den Vorfall. Das Landgericht Düsseldorf stellte mit Urteil vom 27.03.2014 - 21 S 211/13 in der Berufungsinstanz klar, dass der Kunde hier grob fahrlässig gehandelt hat. Denn Kunden brauchen stets nur eine TAN einzugeben, um eine Zahlung zu veranlassen. Hier hätte der langjährige Kunde stutzig werden müssen.
Kunde konnte Phishing-Attacke nicht erkennen
Anders sieht es jedoch aus, wenn er Kunde den Zahlungsvorgang gar nicht veranlasst hatte. So war es etwa in einem Sachverhalt, in dem innerhalb von wenigen Tagen 44 Überweisungen von einem Konto erfolgten. Dabei wurden Benutzernamen, PIN und TAN des Kunden verwendet. Der Kunde ging im Folgenden gegen die Bank vor. Dabei legte er dar, dass er die Überweisungen nicht veranlasst habe. Er sei das Opfer einer Phishing-Attacke geworden.
Das Landgericht Oldenburg gab der Klage des Kunden mit Urteil vom 15.01.2016 – 8 O 1454/15 statt. Nach den Feststellungen des Gerichtes war er tatsächlich Opfer von Phishing geworden. Er hatte keinerlei TAN-SMS erhalten. Vielmehr erfolgten die Überweisungen ohne sein Zutun. Ihm darf nicht einfach unterstellt werden, dass er kein Virenschutzprogramm benutzt hatte. Diese Entscheidung ist mittlerweile rechtskräftig.
Fazit:
Beim Online-Banking sollten Kunden darauf achten, ob ihnen etwas auffällig vorkommt. Keinesfalls sollten sie angeblichen Mitarbeitern ihrer Bank ihre Zugangsdaten anvertrauen. Das gilt auch, wenn deren korrekte Durchwahlnummer angezeigt wird. Denn dies kann ebenfalls durch Dritte fingiert werden. Darüber hinaus gehen diese Daten auch die Mitarbeiter der Bank nichts an. Im Zweifel sollten sie ihr Konto am besten über die Notrufnummer sperren, um einer Haftung zu entgehen. Darüber hinaus muss die Bank sofort darüber informiert werden. Inwieweit Gerichte von grober Fahrlässigkeit ausgehen, hängt sehr von den Umständen des Einzelfalls ab. Glück können Kunden etwa dann haben, wenn sie ein veraltetes Identifikationsverfahren benutzen. Im Zweifel sollten sie sich von einer Verbraucherzentrale oder einem Rechtsanwalt beraten lassen. Auch eine Anzeige gegen Unbekannt ist empfehlenswert.
Autor: Harald Büring, Ass. jur. (Fachanwalt.de-Redaktion)
Foto: © Vladislav Gajic - Fotolia.com