Skip to content

LG Köln: Grobe Fahrlässigkeit des Bankkunden wenn dieser Dritten PIN und TANs für das Online-Banking mitteilt

LG Köln
Urteil vom 10.09.2019
21 O 116/19

Das LG Köln hat entschieden, dass eine grobe Fahrlässigkeit des Bankkunden vorliegt, wenn dieser Dritten PIN und TANs für das Online-Banking mitteilt.

Aus den Entscheidungsgründen:

"Aber auch ein Anspruch des Klägers aus § 675 u Satz 2 BGB besteht nicht, weil die Beklagte diesem Anspruch – der grundsätzlich aufgrund der nicht autorisierten Überweisungen vom 07. bis 09.01.2019 besteht – einen Schadenersatzanspruch nach § 675 v Abs. 3 Nr. 2 BGB entgegenhalten kann. Mit diesem hat sie die Aufrechnung gegen die Klageforderung erklärt.

Der Kläger hat gegen die vertraglichen Sorgfalts- und Mitwirkungspflichten des Nutzers bei der Verwendung des PIN-TAN-Verfahrens, die – unwidersprochen – bereits bei Vertragsschluss zwischen ihm und der Rechtsvorgängerin der Beklagten Vertragsbestandteil waren (Anlage B 4), grob fahrlässig verstoßen (§ 675 v Abs. § Nr. 2 lit. b). Ziffer 9 lit. a) der AGB in der bei Vertragsschluss geltenden Bedingungen für die Nutzung des OnlineBanking-Angebotes der Stadtsparkasse mit PIN und TAN (bzw. Ziffer 7 der Bedingungen für das Online-Banking in der Fassung vom 13.01.2018) auferlegte dem Kläger die Pflicht, dafür Sorge zu tragen, dass keine andere Person Kenntnis von der PIN und den TANs erlangt.

Gegen diese Verpflichtung hat der Kläger verstoßen, indem er – was zumindest nach seinen Angaben im Rahmen seiner persönlichen Anhörung unstreitig ist – dem angeblichen Mitarbeiter der Beklagten L2 diejenige TAN weitergab, die es diesem ermöglichte, seine eigene Mobiltelefonnummer für die spätere Abfrage von computergenerierten TANs zu hinterlegen.

Diese vertragliche Sorgfaltspflicht verletzte der Kläger grob fahrlässig. Grob fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt, einfachste und naheliegende Überlegungen nicht anstellt und in der konkreten Situation das nicht beachtet, was sich jedem aufdrängt (MüKoBGB/Zetsche, 7. Auflage 2017, § 675 v Rn 33), wobei sich aus Erwägungsgrund 33 der ZDRL ergibt, dass die Ausgestaltung des Begriffs nationalem Recht überlassen ist (MüKoBGB/Zetsche, a.a.O.). Nach diesen Grundsätzen stellt sich das Verhalten des Klägers in der Gesamtschau als grob fahrlässig dar, wobei – wie nachfolgend aufgezeigt wird – dahin stehen kann, ob bereits der Umstand, dass der Täter die Zugangsdaten zum Online-Banking (Kennwort und PIN) erlangt hat, auf grober Fahrlässigkeit beruhte.

Dem Kläger hätte bereits auffallen müssen, dass es für ein Kreditinstitut absolut außergewöhnlich ist, dass ein angeblicher Mitarbeiter telefonisch ankündigt, ihm eine TAN zu schicken, um das bisherige Kennwort und die bisherige PIN zu ändern. Bereits dies hätte einem durchschnittlich sorgfältigen Online-Banking-Kunden Anlass zu Misstrauen und ggf. einer Vorsprache bei der Bank gegeben. Noch auffälliger und mit den Usancen im Bankverkehr unvereinbar war es, dass der Mitarbeiter sodann die telefonische Durchgabe der TAN verlangte. Bereits dieser – erste – Verstoß gegen die vertraglich vereinbarte Pflicht, die TAN an Dritte weiterzugeben, erfolgte grob fahrlässig. Jedenfalls aber verstieß der Kläger in nicht nachzuvollziehender Weise gegen die ihm obliegenden Sorgfaltspflichten, indem er Herrn L2 am 24.12.2018 eine weitere TAN durchgab, nachdem dieser angegeben hatte, er wolle nunmehr die EC-Karten des Klägers und seiner Ehefrau gegen Angriffe aus dem Ausland sichern (wobei es schon keinen Sinn ergibt, warum hierfür Einstellungen im Online-Banking-Konto vorgenommen werden mussten). Mit dieser TAN war es dem Täter möglich, eine zweite Telefonnummer für die Übermittlung von TANs zu hinterlegen. Insoweit war es aber zum einen wiederum absolut ungewöhnlich, dass ein angeblicher Mitarbeiter des Kreditinstitutes die telefonische Durchgabe einer TAN verlangte, und zum anderen hat der Kläger selbst eingeräumt, die mit der Hinterlegung der Telefonnummer verbundene, unmissverständliche Warnnachricht der Beklagten schlichtweg nicht gelesen zu haben. Darüber hinaus hat er selbst angegeben, dass er in der Folge weitere Online-Banking-Überweisungen getätigt habe, bei denen er zwischen seiner und der neu hinterlegten Telefonnummer auswählen musste. Spätestens zu diesem Zeitpunkt war ihm sogar bekannt, dass ein weiterer, ihm unbekannter Nutzer von seinem Konto Überweisungen tätigen konnte, zumindest musste sich ihm diese Erkenntnis aufdrängen. Sämtliche, vorstehend aufgeführten und jeder für sich die grobe Fahrlässigkeit begründenden Umstände werden zudem davon umklammert, dass jeglicher (!) Kontakt telefonisch stattfand und es kein einziges Schriftstück der Beklagten betreffend den angeblichen Angriff auf das klägerische Konto gab. Dass es sich bei Herrn L2 um einen psychologisch gut geschulten Täter handelte und der Betrug zulasten des Klägers perfide ausgestaltet war, entlastet ihn angesichts der Vielzahl der vorstehend aufgezählten Umstände, aufgrund deren sich ein Betrugsverdacht aufdrängen musste, und aufgrund der dazwischen liegenden Zeiträume, in denen der Kläger die jeweiligen Vorgänge hätte reflektieren können, nicht. Die Kammer ist nach der durchgeführten Anhörung auch davon überzeugt, dass der Kläger – der bis zum Renteneintritt als Kernphysiker tätig war – von zumindest überdurchschnittlicher Intelligenz ist und daher die Möglichkeit hatte, den Betrug zu seinen Lasten zu erkennen und zu verhindern.

Soweit der Kläger den Vorwurf erhebt, die Beklagte habe keine Sicherheitssysteme gegen „solche Phishing-Angriffe“, erhebt er nach dem Verständnis der Kammer den Einwand des Mitverschuldens betreffend den zur Aufrechnung gestellten Schadenersatzanspruch. Dieser Einwand geht allerdings schon deshalb ins Leere, weil der Kläger nicht Opfer eines Phishing-Angriffs wurde, sondern die schadenauslösende Handlung selbst vorgenommen hat, indem er dem Täter den Zugriff auf die Mobil-TANs ermöglichte (s.o.). Der weitere Vorwurf, die Beklagte habe das Online-Banking-Konto nicht standardmäßig so eingestellt, dass Einzelüberweisungen limitiert seien, geht bereits deshalb ins Leere, weil einerseits eine entsprechende Schadensminderungspflicht nicht erkennbar ist und andererseits der Kläger seit 2002 das Online-Banking nutzt, ohne auch nur die Einrichtung eines Limits angefragt zu haben; dass er nicht gewusst hat, dass ein solches Limit möglich ist, trägt er bereits nicht vor. Ebenso wenig bestand eine Verpflichtung der Beklagten, vor Einzelüberweisungen ins Ausland eine gesonderte Sicherheitsabfrage durchzuführen."


Den Volltext der Entscheidung finden Sie hier:

Bundeskartellamt: Beschränkung von Online-Bezahldiensten durch die deutsche Kreditwirtschaft verstößt gegen Kartellrecht

Das Bundeskartellamt hat entschieden, dass die Beschränkung von Online-Bezahldiensten durch die deutsche Kreditwirtschaft kartellrechtswidrig ist.

Die Pressemitteilung des Bundeskartellamts:

Beschränkung von Online-Bezahldiensten durch die deutsche Kreditwirtschaft verstößt gegen das Kartellrecht

Das Bundeskartellamt hat bestimmte Regelungen der Online-Banking-Bedingungen der Deutschen Kreditwirtschaft für rechtswidrig erklärt. Die Behörde ist der Ansicht, dass die Allgemeinen Geschäftsbedingungen der Banken den Wettbewerb der verschiedenen Anbieter von Bezahlverfahren im Internet beschränken und gegen deutsches und europäisches Kartellrecht verstoßen.

Andreas Mundt, Präsident des Bundeskartellamtes: „Die Online-Banking-Bedingungen der Deutschen Kreditwirtschaft führen zu einer Behinderung von neuen und innovativen Dienstleistungsangeboten auf dem wachsenden Markt für Bezahlverfahren im Internethandel. Im Kern geht es darum, ob auch bankenunabhängige Bezahlverfahren PIN und TAN nutzen dürfen. Wir haben uns intensiv mit dem berechtigten Anliegen der Kreditwirtschaft auseinandergesetzt, dass Sicherheit im Online-Banking gewährleistet sein muss. Die derzeit verwendeten Regelungen lassen sich aber nicht als notwendigen Teil eines konsistenten Sicherheitskonzepts der Banken einstufen und behindern bankunabhängige Wettbewerber.“

Die Deutsche Kreditwirtschaft sowie die in ihr vereinten Verbände Bundesverband der Volks- und Raiffeisenbanken e.V. (BVR), Deutscher Sparkassen- und Giroverband e.V. (DSGV) sowie Bundesverband deutscher Banken e.V. (BdB) verwenden seit vielen Jahren gemeinsam abgestimmte Allgemeine Geschäftsbedingungen (AGB), zu denen auch die „Sonderbedingungen für das Online-Banking“ zählen. Die AGB werden in der Deutschen Kreditwirtschaft beschlossen und von den ihr angeschlossenen Spitzenverbänden gegenüber ihren Mitgliedern zur Nutzung empfohlen. Sie werden flächendeckend von den in Deutschland tätigen Kreditinstituten verwendet.

Die festgestellte Rechtswidrigkeit bezieht sich auf die in den „Sonderbedingungen für das Online-Banking“ dem Online-Banking-Kunden auferlegten Vorgaben beim Umgang mit den personalisierten Sicherheitsmerkmalen PIN (Persönliche Identifikationsnummer) und TAN (Transaktionsnummer). Demnach dürfen Online-Banking-Kunden im Internethandel im Rahmen der Nutzung bankenunabhängiger Bezahlverfahren ihre PIN und TAN nicht als Zugangsinstrumente bei Dritten, zu denen auch sogenannte Zahlungsauslösedienste gehören, eingeben.

Durch diese Regelung wurde und wird die Nutzung von bankenunabhängigen und innovativen Bezahlverfahren beim Einkauf im Internet erheblich behindert. Die Anbieter dieser Bezahlverfahren haben ein Dienstleistungsangebot entwickelt, das eine preisgünstigere Alternative zu den bereits am Markt etablierten Bezahlverfahren darstellt und ein Bedürfnis von Online-Kunden und Online-Händlern nach einer preiswerten und schnellen Zahlungsoption deckt.

Das Bundeskartellamt hat sich auf die Feststellung der Rechtswidrigkeit der beanstandeten Klauseln beschränkt und auf Antrag der Beteiligten die sofortige Vollziehung ausgesetzt. Damit wird der Handlungsspielraum der Beteiligten bei der Umsetzung des Beschlusses und der Abstellung des beanstandeten Verhaltens nicht durch kartellbehördliche Vorgaben und enge Fristen eingeschränkt. Andererseits werden die klaren kartellrechtlichen Grenzen dieses Handlungsspielraums aufgezeigt. Die parallel anhängigen und zwischenzeitlich zum Teil ausgesetzten Zivilverfahren sowie die Überlegungen zu einer gesetzlichen Neuregelung dieses Bereichs werden durch die ausführliche Begründung der Rechtsauffassung des Bundeskartellamtes auf der Grundlage eines im Wege der Amtsermittlung aufgeklärten Sachverhalts befördert.

Hintergrund:
Die Regelungen für die Tätigkeit von bankenunabhängigen Bezahlverfahren unterliegen aktuell einem europäischen Gesetzgebungsprozess: Die für diesen Bereich relevante europäische Zahlungsdiensterichtlinie (PSD) wurde 2015 novelliert und ist bis Anfang 2018 in nationales Recht umzusetzen. Mit dieser Umsetzung wird ein einheitlicher Rechtsrahmen geschaffen, in dem Zahlungsauslösedienste einer staatlichen Aufsicht unterliegen und einheitliche technische Regulierungsstandards bei der Erbringung ihrer Dienstleistungen einhalten müssen.


LG Oldenburg: Bank muss Kunden Schadensersatz für Phishing-Attacke beim Online-Banking ersetzen - Kein Anscheinsbeweis bei mTan-Verfahren

LG Oldenburg
Urteil vom 15.01.2016
8 O 1454/15


Das LG Oldenburg hat eine Bank dazu verurteilt, ihrem Kunden den durch eine Phishing-Attacke beim Online-Banking entstandenen Schaden zu ersetzen. Das Gericht weist dabei darauf hin, dass die Bank beweisen muss, dass der Kunde eine Zahlung autorisiert hat. Es gibt - so das Gericht zutreffend - mangels ausreichender Sicherheit keinen Anscheinsbeweis beim mTan-Verfahren.

Landgericht Oldenburg verurteilt Bank zum Ausgleich des Schadens aufgrund einer Phishing-Attacke beim Online-Banking

Mit Urteil vom 15.01.2016 hat die 8. Zivilkammer des Landgerichts Oldenburg eine Bank aus Lohne zum Ausgleich des Schadens verurteilt, den der Nutzer des Online-Banking-Verfahrens aufgrund einer Phishing-Attacke erlitten hat.

Der Kläger nutzte seit 15 Jahren das von der beklagten Bank angebotene Online Banking System und zwar zuletzt in Form des mTan-Verfahrens. Dort erhält der Kunde von der Bank zur Freigabe seines Bankauftrags eine SMS an sein Mobiltelefon, mittels derer er sich am PC als Berechtigter legitimieren kann.

In der Zeit vom 09.03.2015 bis 13.03.2015 sei es zu 44 unberechtigten Überweisungen von den Konten des Klägers gekommen mit einem Gesamtschaden von 11.244,62 €. Der Kläger verlangte von der Beklagten - vereinfacht dargestellt - Schadensersatz in dieser Höhe. Die Beklagte weigerte sich mit der Begründung, der Kläger habe grob fahrlässig gehandelt, insbesondere habe er App´s auf sein Mobiltelefon heruntergeladen, die nicht aus sicheren Quellen herrührten.

Nach durchgeführter Beweisaufnahme hat das Landgericht der Klage stattgegeben. Die Beklagte hat nachzuweisen, dass es sich bei den streitgegenständlichen Zahlungsvorgängen um solche gehandelt hat, die der Kläger autorisiert hat. Nicht der Kläger hat zu beweisen, dass er Opfer einer Phishing-Attacke wurde und somit die Zahlungsvorgänge durch unberechtigte Dritte erfolgten. Dafür ist es nicht ausreichend, dass die Bank die Zahlungsvorgänge elektronisch aufzeichnet. Auch spricht kein Anscheinsbeweis für eine autorisierte Zahlung, wenn die Legitimation unter Verwendung der dem Kläger zur Verfügung gestellten Benutzernamen, PIN und TAN erfolgt.

Das Urteil ist noch nicht rechtskräftig. Az.: 8 O 1454/15


LG Darmstadt: Kontoinhaber haftet für manipulierte Online-Überweisung mit Smart-TAN-plus-Verfahren nach Rechtsscheinsgrundsätzen

LG Darmstadt
Urteil vom 28.08.2014
28 O 36/14


Das LG Darmstadt hat entschieden, dass der Kontoinhaber für eine manipulierte Online-Überweisung mit dem Smart-TAN-plus-Verfahren nach Rechtsscheinsgrundsätzen haftet. Das Verfahren sei - so das Gericht dem Sachverständigengutachten folgende - ausreichend sicher.

"Dies ergibt sich zur Überzeugung des Gerichts aus den nachvollziehbaren Ausführungen des Sachverständigen, der Folgendes feststellte:

Das Smart-Tan-plus-Verfahren weist eine hohe Systemsicherheit auf. Aus technischer Sicht ist es nach derzeitigem Stand so gut wie ausgeschlossen, dass bei Verwendung dieses Verfahrens tatsächlich erfolgte Online-Überweisungen nicht von dem Bankkunden selbst vorgenommen wurden.

Auf Grundlage der überzeugenden Feststellungen des Sachverständigen bestehen bei dem Smart-TAN-plus-Verfahren im konkreten Fall lediglich zwei in Betracht zu ziehende Manipulationsmöglichkeiten, wobei es sich bei beiden um sog. „Man-in-the-Middle-Angriffe“ handelt: Entweder wurde der Angriff durch eine sich auf dem Computer der Klägerin befindliche Schadsoftware (Trojaner) oder durch eine anderweitige Umleitung der Netzwerkpakete auf ein drittes System ermöglicht. Bei diesen beiden Szenarien gab der Geschäftsführer der Klägerin die Daten der von ihm jeweils beabsichtigten Überweisung an die A GmbH & Co. KG in die ihm auf dem PC-Bildschirm ersichtliche (manipulierte) Überweisungsmaske ein. Im Hintergrund – und damit für den Geschäftsführer nicht sichtbar – wurden die streitgegenständlichen Überweisung vorbereitet und deren Daten über die optische Schnittstelle des Bildschirms an den TAN-Generator übermittelt. Der TAN-Generator erzeugte jeweils eine TAN, die für die streitgegenständliche Überweisung bestimmt und auf diese bezogen war. Auf dem Display des TAN-Generators wurden – für den Geschäftsführer der Klägerin sichtbar – die Daten (Empfänger, dessen Kontonummer und BLZ bzw. IBAN und BIC sowie zu überweisender Betrag) der streitgegenständlichen Überweisungen angezeigt. Sodann drückte der Geschäftsführer der Klägerin trotz dieser Anzeige die O.K.-Taste und erzeugte damit die TAN für die streitgegenständlichen Überweisungen. Anschließend gab der Geschäftsführer der Klägerin die erzeugte TAN in die Online-Überweisungsmaske ein. Auf dieser war wegen des betrügerischen Angriffs nach wie vor die von ihm gewollte Überweisung an die A GmbH & Co. KG angezeigt. Der „Angreifer“ fing die derart am 12.11. und am 27.11 erzeugten TAN ab und nutzte sie sodann für die streitgegenständlichen Überweisungen.

Bei dieser Sachlage ist der Klägerin die Zustimmung zu den beiden streitgegenständlichen Überweisungen nach den entsprechend anwendbaren Grundsätzen der Anscheinsvollmacht zuzurechnen."


Den Volltext der Entscheidung finden Sie hier: