Phishing bei Reisebuchung: Kein Anspruch auf Rückzahlung abgebuchter Kreditkartenbeträge

Wer eine SMS-Tan, die die Bank zur Autorisierung von Abbuchungen an die Mobilfunknummer des Kunden schickt, an einen Dritten weitergibt, ist selbst schuld, wenn dieser unberechtigte Abbuchungen vornimmt – und bekommt sein Geld von der Bank nicht zurückerstattet. So hat es das Amtsgericht (AG) München entschieden.

Ein Ehemann nutzte einen Samstag, um im Internet eine Reise zu buchen. Hierzu gab er auf auf einem Portal, das er für "Check24" hielt, die Daten der Kreditkarte seiner Frau ein. Kurz darauf erschienen mehrere Mitteilungen, dass ein Betrag von 318,99 Euro vorgemerkt sei. Die Ehefrau ließ die Kreditkarte noch am selben Abend sperren. Am Montag darauf musste sie dennoch feststellen, dass von ihrem Konto sechs unberechtigte Abbuchungen zu je 318,99 Euro erfolgt waren. Den Betrag von insgesamt 1.953,29 Euro möchte sie von ihrer Bank erstattet haben.

Um die Transaktionen zu autorisieren, fand das Mastercard 3D-Secure-Verfahren Anwendung. Zu dessen Aktivierung auf einem weiteren Gerät hatte die Bank am Montag eine SMS-TAN an die von der Ehefrau bei ihr hinterlegte Mobilfunknummer gesendet. Die an die Ehefrau versandte SMS-TAN wurde am selben Tag auf dem weiteren mobilen Endgerät, auf dem auch die Banking-App freigeschaltet wurde, eingegeben und damit das Secure-Verfahren aktiviert.

Die Bankkundin behauptete, diese Abbuchungen nicht autorisiert zu haben. Bei der Buchung sei sie nicht nach PIN oder Passwort gefragt worden, sie habe auch nirgendwo eine SMS-Tan eingegeben. Die Bank meint, die Kundin müsse die SMS-Tan an einen Dritten weitergegeben haben, da eine Freigabe der Buchungen anders technisch nicht möglich gewesen sei. Sie verweigerte die Zahlung.

Die Ehefrau verklagte die Bank, jedoch ohne Erfolg: Das AG München wies die Klage ab. Es ging zwar davon aus, dass die Abbuchungen nicht von der Klägerin autorisiert waren, sondern von Dritten getätigt wurden. Aufgrund der Beweisaufnahme war das Gericht jedoch davon überzeugt, dass die Klägerin die SMS-Tan grob fahrlässig an Dritte weitergegeben haben muss, was ihrem Zahlungsanspruch gegen die Bank entgegenstehe.

Der Vortrag der Bank, dass sie in ihren Systemen feststellen konnte, dass an dem betreffenden Montag das Mastercard 3D-Secure Verfahren per Banking App für die Kreditkarte der Klägerin aktiviert und zur Aktivierung dieses Verfahrens auf dem neuen Gerät eine SMS-TAN an die im Vertrag hinterlegte Mobilfunknummer der Klägerin versandt wurde, habe sich bei einer Inaugenscheinnahme des Mobiltelefons der Klägerin bestätigt.

Die Bank habe unbestritten vorgetragen, dass aufgrund der manuellen Eingabe einer an die Mobilfunknummer der Klägerin versandten SMS-Tan ein Fremdzugriff technisch ausgeschlossen ist. Es sei ein neues Gerät im Online-Banking der Klägerin als Freigabeinstrument im Rahmen des Authentifizierungsverfahrens hinterlegt worden. Hierzu sei – technisch zwingend – die Eingabe der SMS-Tan erforderlich gewesen. Das AG München zeigt sich daher davon überzeugt, dass die Klägerin durch Preisgabe der SMS-Tan Dritten eine Registrierung eines Geräts ermöglicht hat.

Damit habe die Klägerin grob fahrlässig gehandelt. Es sei eine Sache, wenn man seine Kreditkartendaten offenbart. Das geschehe bei jeder Verwendung; die Daten könnten auch von der Karte abgelesen werden. Die Weitergabe eines im Rahmen einer Zwei-Faktor-Autorisierung erhaltenden Zugangscodes könne nicht damit gleichgesetzt werden. Denn damit helfe der Nutzer, die Sicherheitsarchitektur grundlegend auszuhebeln. Jedem verständigen Nutzer solcher Kreditkarten müsse klar sein, welches Risiko er mit der Weitergabe derartiger Daten schafft. Die Klägerin möge dies nicht bewusst getan haben und es möge ihr auch nicht erinnerlich sein. Der Vorgang lasse sich aber anders nicht plausibel erklären, so das AG München abschließend.

Amtsgericht München, Urteil vom 08.01.2025, 271 C 16677/24, nicht rechtskräftig