Das Oberlandesgericht (OLG) Koblenz hat die Rechte von Bankkunden im Kampf gegen professionelles Phishing im Internet gestärkt. Es hatte zu klären, wann Nutzer von Online-Banking bei einem Betrugsszenario so unvorsichtig handeln, dass sie ihren Anspruch auf Erstattung des Schadens gegen die Bank verlieren. Die Richter stellten in einem heise online vorliegenden Urteil vom 17. April klar, dass selbst das Anklicken von Links in SMS und die Eingabe von Transaktionsnummern (TAN) in ein Browser-Formular der Home-Banking-Anwendung nicht automatisch den Vorwurf der groben Fahrlässigkeit rechtfertigen (Az.: 8 U 682/24).
Die drei gebündelten Fälle, über die das OLG nun in zweiter Instanz entschied, verdeutlichen die Professionalität moderner Betrüger. Dem hauptsächlich betroffenen Kunden der Sparkasse Westerwald-Sieg war am Telefon von einem angeblichen Mitarbeiter der Technik-Abteilung vorgespiegelt worden, er müsste sein Sicherheitsverfahren von Chip-TAN auf Push-TAN umstellen. Der Anrufer nutzte dabei „Call-ID Spoofing“, wodurch auf dem Telefondisplay des Betroffenen die echte Rufnummer ihrer Sparkasse erschien. Da dem Anrufer zudem diverse persönliche Daten des Kunden bekannt waren, schöpfte dieser keinen Verdacht und folgte den Anweisungen.
Im Zuge des Telefonats generierte der Kunde, dessen beiden Konten im Rahmen eines sogenannten Multibanking online zusammengeschlossen waren, zwar eine Transaktionsnummer mit seinem Chip-TAN-Generator und gab diese im Online-Banking-Portal ein. Er teilte die TAN aber nach eigenen Angaben dem Anrufer nicht mündlich mit. Kurz darauf erfolgten mehrere Echtzeit-Überweisungen ins Ausland, durch die insgesamt über 56.000 Euro von den zwei Konten der Kläger verschwanden. Während das Landgericht Koblenz in erster Instanz noch eine grobe Fahrlässigkeit des Kunden bejaht hatte, korrigierte das OLG diese Sichtweise jetzt grundlegend.
Die Rolle technischer Gutachten
Entscheidend für den Ausgang des Berufungsverfahrens war ein IT-Sachverständigengutachten. Die Bank hatte behauptet, der Kunde müsse den Tätern einen speziellen Freischaltcode aktiv übermittelt haben, da dieser technisch zwingend für die Verknüpfung der Push-TAN-App auf dem Täter-Handy notwendig gewesen sei. Der Gutachter widerlegte dies aber: Bei dem genutzten Verfahren werde der Freischaltcode unmittelbar in der App auf dem Endgerät angezeigt, das verknüpft werden soll – in diesem Fall also direkt auf dem Handy der Betrüger. Der Kunde habe diesen Code somit gar nicht sehen und folglich auch nicht grob fahrlässig weitergeben können.
Der 8. Zivilsenat betont, dass grobe Fahrlässigkeit nur dann vorliegt, wenn die erforderliche Sorgfalt in besonders schwerem Maße verletzt wird und dabei einfachste Überlegungen nicht angestellt werden. In einer Überrumpelungssituation durch professionelle Täter, die echte Bankdaten nutzen und Rufnummern fälschen, könne dem Kunden ein solch schwerer Vorwurf nicht gemacht werden. Auch das Anklicken eines Links in einer SMS der Bank, die im Rahmen des regulären Umstellungsprozesses automatisiert versandt wurde, sei nicht pflichtwidrig. Dies entspreche vielmehr der bestimmungsgemäßen Nutzung.
Signalwirkung für Bankkunden
Die zweite Instanz unterstreicht in dem von der Kanzlei Ilex Rechtsanwälte für die Kläger erwirkten Urteil auch die Pflicht von Banken, unautorisierte Zahlungen gemäß Paragraf 675u Bürgerliches Gesetzbuch (BGB) zu erstatten. Dies gilt zumindest, wenn den Finanzinstituten kein Nachweis eines grob fahrlässigen Verhaltens gelingt. Die Beweislast liegt hier demnach vollumfänglich beim Zahlungsdienstleister. Für Nutzer von Online-Banking bringt das Urteil mehr Rechtssicherheit: Solange Sicherheitsmerkmale nicht aktiv und leichtfertig an Dritte offenbart werden, bleibt der Schutz vor den finanziellen Folgen von Cyber-Kriminalität bestehen.
Die Sparkasse verdonnerte das OLG zur vollständigen Rückbuchung der Beträge nebst Zinsen. Eine Revision zum Bundesgerichtshof ließ es nicht zu. Die Beklagte könnte dagegen höchstens noch Beschwerde einreichen. Das Urteil zeigt so, dass die Justiz teils die technische Komplexität von Betrugsmaschen berücksichtigt und die Verantwortung nicht nur bei den Kunden ablädt, die mit immer raffinierteren Phishing-Methoden konfrontiert werden. Voriges Jahr hatte das Landgericht Rostock andererseits entschieden: Nutzer, die aufgrund einer manipulierten E-Mail bei einem Phishing-Angriff Geld auf ein falsches Konto überweisen, müssen Ansprüchen des Rechnungsstellers trotzdem nachkommen.
(mki)
English (US) ·