Phishing-Angriff: Keine Haftung der Bank bei grob fahrlässig freigegebenem Überweisungsbetrag

08.04.2024
Wirtschaft, Gesellschaft & Handel 2/2024
3 Minuten

Wird mittels PushTAN und Verifizierung über eine Gesichtserkennung nach einer Phishing-Nachricht die temporäre Erhöhung des Überweisungslimits und eine anschließende Überweisung freigegeben, handelt der Kunde grob fahrlässig; die Bank schuldet in diesem Fall nicht die Rückerstattung des überwiesenen Betrags (OLG Frankfurt a. M., Urt. v. 6.12.2023, Az. 3 U 3/23).

Worum geht es?

Der Kläger, beruflich als Rechtsanwalt und Steuerberater tätig, unterhält bei der Beklagten ein Girokonto. Online-Transaktionen bestätigt er mit dem sogenannten PushTAN-Verfahren. Sobald in seinem Online-Banking ein Auftrag erteilt wird, erhält er über die auf seinem Smartphone installierte PushTAN-App eine Benachrichtigung und wird zur Freigabe des Auftrags aufgefordert. Zusätzlich muss seine Identität über die Gesichtserkennung des Smartphones bestätigt werden. Sein Überweisungslimit lag bei 10.000 Euro.

Der Kläger erhielt im September 2021 eine SMS mit dem Hinweis, sein Konto sei eingeschränkt worden. Er solle sich für ein neues Verfahren anmelden und hierzu einem Weblink folgen. Über dieselbe Telefonnummer hatte die Beklagte in der Vergangenheit über vorrübergehenden Sperrungen nach Sicherheitsvorfällen informiert. Der Kläger folgte dem Link, wurde anschließend angerufen und bestätigte auf Anweisung des Anrufers einen Auftrag in der PushTAN-App. Am selben Tag wurde das Konto des Klägers mit einer Überweisung in Höhe von 49.999,99 Euro belastet. Er begehrt nun von der Beklagten eine Gutschrift in dieser Höhe.

Wie entschied das Gericht?

Das LG wies die Klage ab und auch die hiergegen gerichtete Berufung hatte vor dem OLG keinen Erfolg. Die Beklagte schulde nicht die Gutschrift des Betrags, da der Kläger grob fahrlässig seine Pflichten verletzt habe.

Für die Limit Änderung fordert die Beklagte eine sog. starke Kundenauthentifizierung mit PIN und Push-TAN. Gemäß den Aufzeichnungen der Beklagten wurde am Tag der Überweisung eine PushTAN-Freigabe für ein temporäres Tageslimit von 50.000 Euro angefordert, die per Gesichtserkennung auch erteilt wurde. Von derselben IP-Adresse aus wurde nachfolgend eine PushTAN-Freigabe für die streitgegenständliche Überweisung angefordert und ebenfalls per Gesichtserkennung erteilt. Damit sei der Vortrag des Klägers, nur einmal etwas per Gesichtserkennung bestätigt zu haben, nicht glaubhaft.

Der Kläger habe durch die Bestätigung von PushTANs auf Aufforderung des Anrufers gegen seine Verpflichtung, Sicherheitsmerkmale vor unbefugten Zugriff zu schützen, verstoßen und einem unbekannten Dritten Zugriff auf ein personalisiertes Sicherheitsmerkmal gewährt. Dadurch habe er faktisch die Kontrolle über das Authentifizierungsinstrument PushTAN in die Hände des Anrufers gelegt. Die Freigabe einer PushTAN auf telefonischen Zuruf hin begründe den Vorwurf der groben Fahrlässigkeit in objektiver sowie subjektiver Hinsicht. Bei der Freigabeaufforderung wird dem Kunden angezeigt, für welchen konkreten Vorgang die TAN geschaffen wurde. Werde dieser deutliche Hinweis nicht beachtet, liegt in der Bestätigung kein bloß einfach fahrlässiger Pflichtverstoß vor. Denn bei Nutzung einer App, die explizit die Freigabe von Finanztransaktionen dient, muss es im Allgemeinen jedem einleuchten, dass die Anzeige zur Kenntnis zu nehmen und gründlich zu prüfen ist.

Praxishinweis

Sogenannte Phishing-Nachrichten erwecken den ersten Eindruck, vom Zahlungsdienstanbieter zu stammen, führen aber typischerweise zu gefälschten Websites. Hierbei handelt es sich um die bekannteste Form des Identitätendiebstahls. Beim sogenannten Pharming werden Nutzer statt mit einer E-Mail unmittelbar durch Manipulationen an Domain-Name-Servern auf gefälschte Web-Seiten umgeleitet. Werden falsche IP-Nummern verwendet, um dem angegriffenen System eine falsche Identität vorzutäuschen, spricht man vom sogenannten IP-Spoofing.

Gegenüber ihren Kunden kann sich die Bank mitunter darauf berufen, der Kunde habe allgemein naheliegende Warnzeichen ignoriert oder allgemein übliche und zu erwartende Vorsichtsmaßnahmen unterlassen, so dass die Haftung der Bank ausgeschlossen sein kann. Obgleich die Rechtsprechung mit Verbrauchern tendenziell nachsichtig ist, mag es sich hier zu Lasten des Kunden ausgewirkt haben, dass er sowohl eine Erhöhung des Überweisungslimits als anschließend auch die Überweisung selbst freigegeben hatte, ohne zu prüfen, warum eine solche Überweisung angefordert wird; weiter war zu berücksichtigen, dass Banken seit Langem vor derlei Betrugsversuchen warnen und dem Kläger als Rechtsanwalt und Steuerberater eine gewisse Kompetenz in derlei Geschäften zu unterstellen sein könnte.

Bildnachweis:weerapatkiatdumrong/Stock-Fotografie-ID:533726355

Immer bestens informiert mit den Newslettern von SCHOMERUS

Steuerberatung und Rechtsberatung
Schomerus & Partner mbB
Steuerberater Rechtsanwälte
Wirtschaftsprüfer
Wirtschaftsprüfung
Hamburger Treuhand Gesellschaft
Schomerus & Partner mbB
Wirtschaftsprüfungsgesellschaft
Hamburg
Deichstraße 1
20459 Hamburg
Berlin
Bülowstraße 66
10783 Berlin
München
Möhlstraße 35
81675 München
Stralsund
An den Bleichen 15
18435 Stralsund
Pixel