Betrug beim Online-Banking: Wer haftet

Bleibt der Kunde auf seinem Schaden sitzen, wenn Kriminelle sich unter Anzeige der Rufnummer der Bank telefonisch als Bankmitarbeiter ausgeben, sich so eine digitale Version der Debitkarte des Kunden erschleichen und anschließend mehr als 14.000 Euro mittels ApplePay abbuchen? Das Landgericht (LG) Köln verneint dies: Das Bankinstitut müsse dem Kunden in diesem Fall die betrügerischen Abbuchungen erstatten.

Der Kläger unterhält bei der beklagten Sparkasse ein Privatgirokonto und nutzt hierfür auch das Online-Banking unter Verwendung des so genannten pushTAN-Verfahrens als Authentifizierungsinstrument. Damit ermöglicht es die Bank ihren Kunden, eine Überweisung oder eine sonstige Handlung − beispielsweise auch die Freischaltung von ApplePay − webbasiert in der Banking App einzugeben. Veranlasst der Kunde einen Auftrag, benötigt er für dessen Freigabe zusätzlich eine TAN als elektronische Unterschrift.

Hierzu bediente der Kläger sich des pushTAN-Verfahrens, mit dem er von einem einzigen Gerät aus sowohl auf sein Online-Banking zugreifen als auch eine TAN anfordern kann. Wenn er einen Auftrag initialisiert, erhält er für die elektronische Unterschrift eine TAN unter Angabe der konkreten Verwendung übersandt. Hierzu hat er auf seinem Mobiltelefon die pushTAN App installiert.

Im September 2022 kontaktierte ein Unbekannter den Kläger telefonisch unter Anzeige der Rufnummer seiner Bank mittels so genannten Call-ID Spoofings. Der Anrufer gab vor, ein Bankmitarbeiter zu sein. Er erfragte beim Kläger, ob dieser in der vergangenen Woche von betrügerischen Anrufen oder verdächtigen Kontobewegungen betroffen gewesen sei. Der Kläger verneinte dies. Der Anrufer teilte ihm daraufhin mit, dass er aufgrund aktueller Betrugsvorfälle vorsorglich das Konto und die Karte des Klägers gesperrt habe, dieses aber nun nach dessen Auskunft wieder entsperren könne. Er bat den Kläger sodann um entsprechende Freigabe über die pushTAN App der Bank auf dem Mobiltelefon des Klägers.

In der pushTAN App erschien daraufhin, ein Auftrag mit dem Text "Registrierung Karte". Der Kläger gab den Auftrag frei. Damit bestätigte er tatsächlich aber einen durch die Täter initiierte Registrierung einer digitalen Version seiner Debitkarte zur Speicherung auf einem mobilen Endgerät der Täter. Diese konnten infolgedessen in nur wenigen Tagen Zahlungen von über 14.000 Euro mit der digitalen Debitkarte unter Nutzung von ApplePay vornehmen.

Die Bank erstattete vorgerichtlich 4.000 Euro; eine weitere Erstattung lehnte sie ab. Die Klage auf Erstattung des Restes hatte vor dem LG Köln Erfolg. Die Zahlungsvorgänge seien nicht durch den Kläger autorisiert gewesen. Dies sei bereits deshalb der Fall, weil sie nicht durch den Berechtigten, nämlich den Kläger, ausgeführt worden seien; eine Stellvertretung für den Kläger sei zudem ausgeschlossen. Dass dieser die Zahlungsvorgänge mittels ApplePay nicht selbst autorisiert habe, stehe nach dem Vortrag der Parteien fest.

Die Bank könne dem klägerischen Anspruch auch keinen Schadensersatzanspruch entgegenhalten. Zwar sei nach den gesetzlichen Regelungen ein Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler entweder in betrügerischer Absicht gehandelt oder er den Schaden durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten nach Gesetz oder den vereinbarten Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments herbeigeführt hat. Entsprechendes habe die Bank aber nicht ausreichend dargelegt.

Grobe Fahrlässigkeit erfordere einen in objektiver Hinsicht schweren und in subjektiver Hinsicht unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt. Daran fehle es hier. Dies stützt das Gericht dabei darauf, dass sich die Täter des so genannten Call-ID Spoofings bedient hätten. Dem Kläger sei infolgedessen die Nummer seiner Bank angezeigt worden, als die Täter ihn anriefen. Für einen verständigen, langjährigen Bankkunden sei die Nutzung einer ihm bekannten Nummer mit besonderem Vertrauen verbunden. Davon, dass die Möglichkeit besteht, eine fremde Nummer zu nutzen, dürfte der Durchschnittsbürger keine Kenntnis haben.

Dass dem Kläger der angebliche Mitarbeiter der Bank nicht bekannt gewesen sei, sei noch kein besonders verdächtiger Umstand. Etwas anderes gelte auch nicht aufgrund der Bezeichnung des Auftrags in der pushTAN App als "Registrierung Karte". Zwar habe der Anrufer vorgegeben, er wolle die Karte des Klägers entsperren, nicht registrieren. Allerdings sei die Bezeichnung "Registrierung" derart weit, dass für den Kläger – vor allem in der konkreten Überrumpelungssituation –nicht erkennbar gewesen sei, dass es um die Einrichtung eines Zahlungssystems auf einem mobilen Endgerät und damit die Freigabe einer Möglichkeit zu Kontoverfügungen gehe. Dabei wäre es der Bank möglich gewesen, durch einen eindeutigen Text, insbesondere durch Verwendung eines Hinweises gerade auf ApplePay, dem Kunden deutlich vor Augen zu führen, welcher Zahlungsdienst hier freigegeben werden soll.

Auch aus der Formulierung des Warntextes in der App, es sei "kein Auftrag" freizugeben, der nicht "explizit beauftragt" wurde, folge nach seinem natürlichen Wortsinn nicht, dass der Auftrag zwingend über die Online-Banking App erfolgt sein müsse. Der Kläger habe daher davon ausgehen dürfen, dass sein – vermeintlich − telefonisch erteilter "Auftrag" diese Voraussetzungen ebenso erfüllt.

Landgericht Köln, Urteil vom 08.01.2024, 22 O 43/23, nicht rechtskräftig