Skip to content

LG Köln: Sparkasse muss Kunden nach Phishing-Angriff per Call-ID Spoofing gemäß § 675u BGB Schaden durch nicht autorisierte Zahlungsvorgänge ersetzen

LG Köln
Urteil vom 20.11.2023
22 O 43/23


Das LG Köln hat entschieden, dass eine Sparkasse seinem Kunden nach einem Phishing-Angriff per Call-ID Spoofing gemäß § 675u BGB den Schaden durch nicht autorisierte Zahlungsvorgänge ersetzen muss.

Aus den Entscheidungsgründen;
Der Klageantrag zu 1.) ist begründet. Der Kläger hat einen Anspruch gegen die Beklagte, das bei ihr geführte Girokonto des Klägers Nr. N01 auf den Stand zu bringen, auf dem es sich ohne die Belastungen durch die nicht autorisierten Zahlungsvorgänge in Höhe von insgesamt EUR 9.933,38 am 23.09.2022 befunden hätte.

1. Nach § 675u S. 1 BGB hat der Zahlungsdienstleister (hier die Beklagte) des Zahlers (hier des Klägers) im Fall eines nicht autorisierten Zahlungsvorgangs gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist nach § 675u S. 2 BGB verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.

2. Diese Voraussetzungen sind vorliegend erfüllt, da die streitgegenständlichen Zahlungsvorgänge nicht durch den Kläger autorisiert waren. Dies ist bereits deshalb der Fall, weil sie nicht durch den Berechtigten, nämlich den Kläger, ausgeführt worden sind; eine Stellvertretung für den Kläger ist ausgeschlossen (vgl. BGH, Urteil vom 26.01.2016 – XI ZR 91/14, BGHZ 208, 331 Rn. 58 m.w.N.). Dass der Kläger die Zahlungsvorgänge mittels ApplePay nicht selbst autorisiert hat, steht nach dem Vortrag der Parteien fest. Während die Beklagte zunächst die Autorisierung jedenfalls konkludent bestritten hat („sofern er die Freigabe einer digitalen Debitkarte nicht wissentlich veranlasst hat“, Bl. 73 d. A.), ging sie zuletzt von „durch den Betrüger vorgenommenen Zahlungen“ (Bl. 157 d. A.) aus. Jedenfalls wäre auch ein einfaches Bestreiten der Beklagten, die nach Maßgabe des § 675w BGB vorrangig im Hinblick auf den Nachweis der Authentifizierung darlegungs- und beweisbelastet ist, nicht geeignet gewesen, um den substantiierten Ausführungen des Klägers entgegenzutreten (vgl. § 138 Abs. 3 ZPO).

Die Beklagte kann dem klägerischen Anspruch auch keinen Schadensersatzanspruch gemäß § 675v BGB nach § 242 BGB entgegenhalten (sog. dolo-agit-Einwendung). Der Beklagten steht unter keinem erdenklichen rechtlichen Gesichtspunkt ein solcher Schadensersatzanspruch zu. Ein solcher Anspruch ergibt sich insbesondere nicht aus § 675v Abs. 3 Nr. 2 BGB.

Nach § 675v Abs. 3 BGB ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler entweder in betrügerischer Absicht gehandelt hat (§ 675v Abs. 3 Nr. 1 BGB) oder er den Schaden durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten gemäß § 675l Abs. 1 BGB (§ 675v Abs. 3 Nr. 2 a) BGB) oder einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments nach § 675l Abs. 2 BGB (§ 675v Abs. 3 Nr. 2 b) BGB) herbeigeführt hat.

Im Hinblick auf den allein in Betracht kommenden Anspruch gemäß § 675v Abs. 3 Nr. 2 BGB ist die Beklagte ihrer diesbezüglichen Darlegungs- und Beweislast nicht nachgekommen.

Grobe Fahrlässigkeit erfordert einen in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt. Selbst ein objektiv grober Pflichtenverstoß rechtfertigt für sich noch keinen zwingenden Schluss auf ein entsprechend gesteigertes personales Verschulden (vgl. BGH, Urteil vom 26.01.2016, XI ZR 91/44, Rn. 71 m.w.N.). Dabei kommt dem Zahlungsdienstleister auch kein Anscheinsbeweis zu Gute, dass bei einem Missbrauch des Online-Bankings, wenn die Nutzung eines Zahlungsauthentifizierungsinstruments korrekt aufgezeichnet worden und die Prüfung der Authentifizierung beanstandungsfrei geblieben ist, eine konkrete grob fahrlässige Pflichtverletzung des Zahlungsdienstnutzers nach § 675v Abs. 2 BGB vorliegt (BGH, a.a.O. Rn.68).

Schon nach dem Vortrag der Beklagten fehlt es hier allerdings beim Kläger an einer grob fahrlässigen Verletzung der Pflichten eines Zahlungsdienstnutzers. Das Verhalten des Klägers ist danach jedenfalls nicht als subjektiv schlechthin unentschuldbar zu werten.

Diese Einschätzung stützt das Gericht zum einen darauf, dass sich die Täter des sog. Call-ID Spoofings bedienten. Dem Kläger wurde infolgedessen die Nummer der Beklagten angezeigt, als die Täter ihn anriefen. Für einen verständigen, langjährigen Bankkunden ist die Nutzung einer ihm bekannten Nummer mit besonderem Vertrauen verbunden. Davon, dass die Möglichkeit besteht, eine fremde Nummer zu nutzen, dürfte der Durchschnittsbürger keine Kenntnis haben. Dass dem Kläger der angebliche Mitarbeiter der Beklagten nicht bekannt war, ist für sich genommen noch kein besonders verdächtiger Umstand. In einer großen Organisation wie der der Beklagten herrscht regelmäßig eine gewisse Fluktuation bzw. es findet eine Arbeitsteilung statt, sodass die Bankkunden nicht mehr zwingend nur mit einem Mitarbeiter in Kontakt stehen.

Etwas anderes gilt auch nicht aufgrund der Bezeichnung des Auftrags in der pushTAN App als „Registrierung Karte“. Zwar gab der Anrufer vor, er wolle die Karte des Klägers entsperren, nicht registrieren. Allerdings ist die Bezeichnung „Registrierung“ derart weit, dass für den Kläger – vor allem in der Überrumpelungssituation, in der er sich befand und auch bei der durch die Beklagte mit einem Sicherheitshinweis angemahnten sorgfältigen Prüfung – überhaupt nicht erkennbar war, dass es um die Einrichtung eines Zahlungssystems auf einem mobilen Endgerät der Herstellers Apple Inc. und damit die Freigabe einer Möglichkeit zu Kontoverfügungen geht, die nur von der Verfügungsgewalt über dieses mobile Endgerät abhängt. Dabei wäre es der Beklagten ohne weiteres möglich gewesen, durch einen eindeutigen Text, insbesondere durch Verwendung eines Hinweises gerade auf ApplePay dem Kunden deutlich vor Augen zu führen, welcher Zahlungsdienst hier freigegeben werden soll, um so ersichtlich zu machen, dass es um Endgeräte eines bestimmten Herstellers und die Nutzung als Wallet, nicht einer Karte geht (vgl. LG Köln, Urteil vom 09.03.2023 - 15 O 267/22). Bei der hier vorliegenden Gestaltung konnte der Kläger den Text in der pushTAN App dem eigentlichen Vorgang nicht zuordnen. Im Übrigen ergibt sich aus der Formulierung des Warntextes, es sei „kein Auftrag“ freizugeben, der nicht „explizit beauftragt“ wurde, nach seinem natürlichen Wortsinn nicht, dass der Auftrag zwingend über die Online-Banking App erfolgt sein muss. Der Kläger durfte davon ausgehen, dass sein – vermeintlich − telefonisch erteilter „Auftrag“ diese Voraussetzungen ebenso erfülle. Der Vorgang und auch der Pflichtenverstoß des Klägers ist daher bereits nicht allein dessen Verantwortungsbereich anzulasten.
Auf die Fragen, ob eine starke Kundenauthentifizierung verlangt wurde (§ 675v Abs. 4 BGB) oder der Beklagten ein Mitverschulden anzulasten ist, kommt es insofern nicht mehr an.

II. Der Klageantrag zu 2.) ist ebenfalls begründet. Der Kläger hat gegen die Beklagte einen Anspruch auf Zahlung der vorgerichtlichen Rechtsanwaltskosten in Höhe von EUR 973,66 nebst Zinsen in Höhe von fünf Prozentpunkten seit dem 23.05.2023.

Der Anspruch auf Zahlung der vorgerichtlichen Rechtsanwaltskosten ergibt sich aus §§ 280 Abs. 1, 2, 286 BGB i.V.m. § 675u Satz 3 BGB. Die Beklagte befand sich mit der gemäß § 675u Sätze 2, 3 BGB „unverzüglich“ geschuldeten Erstattung in Verzug (vgl. OLG Celle Hinweisbeschluss v. 17.11.2020 – 3 U 122/20, BeckRS 2020, 33608 Rn. 44 ff.).

Der Zinsanspruch folgt aus §§ 291, 288 Abs. 1 BGB i.V.m. § 187 Abs. 1 BGB analog.


Den Volltext der Entscheidung finden Sie hier:

OLG Frankfurt: Kein Erstattungsanspruch gegen Bank nach Phishing-SMS wenn Kunde grob fahrlässig handelt - Mehrmalige Bestätigung per PushTAN auf Anforderung eines Anrufers

OLG Frankfurt
Urteil vom 06.12.2023
3 U 3/23


Das OLG Frankfurt hat entschieden, dass kein Erstattungsanspruch gegen die Bank nach einem Phishing-Angriff per SMS besteht, wenn der Kunde grob fahrlässig gehandelt hat (hier; Mehrmalige Bestätigung per PushTAN auf Anforderung eines Anrufers).

Die Pressemitteilung des Gerichts:
Phishing-Angriff - Keine Haftung der Bank
Die Bank haftet nicht für einen aufgrund Phishing-Angriffs vom Kunden grob fahrlässig freigegebenen Überweisungsbetrag.

Gibt ein Kunde mittels PushTAN und Verifizierung über eine Gesichtserkennung nach einer Phishing-Nachricht die temporäre Erhöhung seines Überweisungslimits und eine anschließende Überweisung frei, handelt er grob fahrlässig. Die Bank schuldet in diesem Fall nicht die Rückerstattung des überwiesenen Betrags, bestätigte das Oberlandesgericht Frankfurt am Main mit heute veröffentlichter Entscheidung das klageabweisende Urteil des Landgerichts.

Der Kläger, Rechtsanwalt und Steuerberater in einer internationalen Sozietät, führt bei der Beklagten ein Girokonto. Online-Transaktionen bestätigt er mit dem sog. PushTAN-Verfahren. Sobald in seinem Online-Banking ein Auftrag erteilt wird, erhält er über die auf seinem Smartphone installierte PushTAN-App eine Benachrichtigung und wird zur Freigabe des Auftrags aufgefordert. Zusätzlich hat er eingestellt, dass seine Identität über die Gesichtserkennung des Smartphones bestätigt werden muss. Sein Überweisungslimit lag bei 10.000 €.

Der Kläger erhielt im September 2021 eine SMS mit dem Hinweis, dass sein Konto eingeschränkt worden sei. Es solle sich für ein neues Verfahren anmelden und hierzu einem Weblink folgen, der das Wort „Sparkasse“ enthielt. Die im Absender der SMS genannte Telefonnummer hatte die Beklagte in der Vergangenheit bereits verwendet, um den Kläger über vorrübergehende Sperrungen nach Sicherheitsvorfällen zu informieren. Der Kläger folgte dem in der SMS angegebenen Link. Anschließend wurde er von einer männlichen Person angerufen und bestätigte auf Anweisung des Anrufers seinen Angaben nach „etwas“ in der PushTAN-App der Beklagten. Am selben Tag wurde das Konto des Klägers mit einer Überweisung i.H.v. 49.999,99 € belastet und als Empfänger eine männliche Person mit Vor- und Nachnamen angegeben.

Mit seiner Klage begehrt der Kläger von der Beklagten die Gutschrift dieses Betrags. Das Landgericht hat die Klage abgewiesen. Die hiergegen gerichtete Berufung hatte auch vor dem OLG keinen Erfolg. Die Beklagte schulde im Ergebnis nicht die Gutschrift des Betrags, da der Kläger grob fahrlässig seine Pflichten verletzt habe, bestätigte das OLG die landgerichtliche Entscheidung.

Für die Limitänderung fordere die Beklagte eine starke Kundenauthentifizierung mit PIN und PushTAN. Gemäß den Aufzeichnungen der Beklagten sei am Tag der Überweisung eine PushTAN-Freigabe für ein temporäres Tageslimit von 50.000 € angefordert worden, die per Gesichtserkennung auch erteilt worden sei. Von derselben IP-Adresse aus sei nachfolgend eine PushTAN-Freigabe für die streitgegenständliche Überweisung über 49.999,99 € angefordert und ebenfalls per Gesichtserkennung erteilt worden.

Damit sei der Vortrag des Klägers, nur einmal „etwas“ in seiner PushTAN-App mittels Gesichtskennung bestätigt zu haben, nicht glaubhaft. Aufgrund der beruflichen Qualifikation des Klägers könne unterstellt werden, dass er in geschäftlichen Dingen grundsätzlich erfahren sei. Er habe auch selbst berichtet, Online-und Telefonbanking bei mehreren Instituten zu nutzen und mit den grundlegenden Funktionen von Banking- bzw. TAN-Apps vertraut zu sein. Da die Erinnerung des Klägers an Nebendetails des Ablaufs sehr ungenau gewesen seien, spreche eine sehr hohe Wahrscheinlichkeit dafür, dass auch seine Erinnerung an die Anzahl der von ihm abgegebenen PushTAN-Bestätigungen unzuverlässig sei.

Der Kläger habe durch die Bestätigung von PushTANs auf Anforderung des Anrufers hin gegen seine Verpflichtung, Sicherheitsmerkmale vor unbefugten Zugriff zu schützen, verstoßen und einem unbekannten Dritten Zugriff auf ein personalisiertes Sicherheits­merkmal gewährt. Dadurch habe er faktisch die Kontrolle über das Authentifizierungsinstrument PushTAN in die Hände des Anrufers gelegt.

Die Freigabe einer PushTAN auf telefonischen Zuruf hin begründe den Vorwurf der groben Fahrlässigkeit in objektiver und subjektiver Hinsicht. Bei der Freigabeaufforderung werde dem Kunden grundsätzlich angezeigt, für welchen konkreten Vorgang – etwa eine Überweisung in konkreter Höhe – die TAN geschaffen wurde. “Beachtet ein Kunde diese deutlichen Hinweise nicht und erteilt die Freigabe, ohne auf die Anzeige zu achten, liegt hierin kein bloß einfach fahrlässiger Pflichtverstoß mehr“, betont das OLG, „Denn bei Nutzung einer App, die explizit der Freigabe von Finanztransaktionen dient, muss es im Allgemeinen jedem einleuchten, dass die Anzeige zur Kenntnis zu nehmen und gründlich zu prüfen ist“.

Soweit sich der Kläger auf einen atypischen Ablauf in der App berufe, auf die er durch den Klick auf den in der SMS angegebenen Link geraten sei, könne ihm nicht entgangen sein, dass sämtliche Banken seit Jahren vor so genannten Phishing-Nachrichten warnten. Diese erweckten den ersten Eindruck, von einem Zahlungsdiensteanbieter zu stammen, führten typischerweise aber zu gefälschten Websites. Dieses kriminelle Phänomen werde seit 2006 öffentlich breit diskutiert. Hier handele es sich offensichtlich um eine derartige Phishing-Nachricht. Dies habe der Kläger auch spätestens nach der Aufforderung, persönliche Sicherheitsmerkmale im Rahmen einer von ihm selbst als „atypisch“ wahrgenommenen Umgebung freizugeben, erkennen müssen. „Spätestens an diesem Punkt hätte die Überlegung ganz nahegelegen, dass er einem Betrugsversuch aufgesessen war.“

Die Entscheidung ist nicht rechtskräftig. Mit der Nichtzulassungsbeschwerde hat der Kläger die Zulassung der Revision beim BGH begehrt.

Oberlandesgericht Frankfurt am Main, Urteil vom 06.12.2023, Az. 3 U 3/23
(vorausgehend Landgericht Frankfurt am Main, Urteil vom 09.12.2022, Az. 2-25 O 41/22)