OLG: Keine Rückerstattung bei Phishing-Angriff im Online-Banking

Bankkunden müssen beim Online-Banking vorsichtig sein und dürfen Unbekannten keinen Zugriff auf personalisierte Sicherheitsmerkmale gewähren. Wenn sie dies doch tun, haben sie im Falle eines Betrugs schlechte Karten.

Ein bei einer internationalen Sozietät tätiger Rechtsanwalt und Steuerberater erhielt eine Nachricht per SMS, dass sein Konto eingeschränkt sei. Er wurde aufgefordert, einem Link zu folgen, um sich für ein neues Verfahren anzumelden. Die im Absender der SMS genannte Telefonnummer hatte die beklagte Bank bereits in der Vergangenheit verwendet, um den Mann über vorübergehende Sperrungen nach Sicherheitsvorfällen zu informieren.

Fake-Anruf eines vermeintlichen Bankmitarbeiters

Der Rechtsanwalt und Steuerberater folgte dem Link. Daraufhin wurde er von einer männlichen Person angerufen. In dem Telefonat bestätigte er auf Anweisung des Anrufers nach „etwas“ in der PushTAN-App der Bank. Wie sich später herausstellte, hatte der Mann sein Überweisungslimit von 10.000 auf 50.000 EUR erhöht, durch die Freigabe einer Push-TAN, die per Gesichtserkennung erteilt worden war. Ein folgenreicher Fehler. Denn am selben Tag wurde sein Konto mit 49.999 EUR belastet.

Der klagende StB und RA forderte von der Bank die Gutschrift des Betrags. Das Landgericht hatte die Klage abgewiesen. Mit seiner Berufung vor dem OLG Frankfurt hatte der Mann ebenfalls keinen Erfolg. Argumentation des Gerichts: Der Kläger habe grob fahrlässig seine Pflichten verletzt. Die beklagte Bank schulde deshalb nicht die Gutschrift der 49.999 EUR.

Die Erklärung des Mannes, nur einmal etwas mittels Gesichtserkennung bestätigt zu haben, sei nicht glaubhaft. Zudem könne aufgrund seiner beruflichen Qualifikation unterstellt werden, dass er in geschäftlichen Dingen grundsätzlich erfahren sei.

Gericht sieht grobe Fahrlässigkeit beim Bankkunden

Die Freigabe einer PushTAN auf telefonischen Zuruf hin begründe den Vorwurf der groben Fahrlässigkeit in objektiver und subjektiver Sicht, so das Gericht:

  • Im Kern habe der Kläger, indem er auf Anforderung des Anrufers PushTANs bestätigt habe, gegen seine Verpflichtung verstoßen, Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen.
  • Er habe einem unbekannten Dritten damit Zugriff auf ein personalisiertes Sicherheitsmerkmal gewährt.
  • Dadurch habe er faktisch die Kontrolle über das Authentifizierungsinstrument PushTAN in die Hände des unbekannten Anrufers gelegt.

Bankkunden müssen vor Freigabe einer TAN auf den freizugebenden Betrag achten

Bei einer Freigabeaufforderung werde dem Kunden grundsätzlich angezeigt, für welchen konkreten Vorgang – etwa eine Überweisung in konkreter Höhe – die TAN geschaffen wurde. Beachte der Kunde diese deutlichen Hinweise nicht und erteile die Freigabe, ohne auf die Anzeige zu achten, liege hierin kein bloß einfach fahrlässiger Pflichtverstoß mehr vor, so das OLG.

Bei einer Nutzung einer App, die explizit der Freigabe von Finanztransaktionen diene, müsse es im Allgemeinen jedem einleuchten, dass er die Anzeige zur Kenntnis nehmen und gründlich prüfen müsse.

Die Charakteristik von Phishing-Nachrichten müssen Bankkunden kennen

Soweit sich der Kläger auf einen atypischen Ablauf in der App berufe, auf die er durch Klick auf den in der SMS angegebenen Link geraten sei, könne ihm nicht entgangen sein, dass Banken seit Jahren vor sogenannten Phishing-Nachrichten warnten. Diese erweckten den Eindruck, von einem Zahlungsdienstanbieter zu stammen, führten aber typischerweise zu gefälschten Websites. Dieses kriminelle Phänomen werde bereits seit 2006 öffentlich breit diskutiert.

Fazit des Gerichts: Der Kläger hätte den Betrugsversuch erkennen müssen.

(OLG Frankfurt, Urteil v. 09.12.2023, 2-25 O 41/22)