Das Landgericht Lübeck hat mit nunmehr veröffentlichtem Urteil vom 03.01.2024 (Az.: 3 O 83/23) klargestellt, dass ein Bankkunde beim Online-Banking grob fahrlässig handelt, wenn er mehrere deutliche Warnhinweise, die auf einen Phishing-Angriff hinweisen, ignoriert. Die Warnhinweise waren u.a. ein anderes Aussehen der Bankhomepage und ein spätabendlicher Anruf einer „Bankmitarbeiterin“, die die Einrichtung eines Tagesgeldkontos vorschlägt. Gibt der Kunde trotz mehrerer Auffälligkeiten persönliche Daten an und Transaktionen frei, hat er keinen Schadensersatzanspruch gegen die Bank wegen Ausführung einer unautorisierten Überweisung.
Dem Urteil lag folgender Sachverhalt zugrunde:
Der Kläger unterhielt bei der Beklagten ein Girokonto. Die Freischaltung von Zahlungsaufträgen im Online-Banking erfolgte über eine TAN-App auf seinem Smartphone.
Am Abend des 20.06.2022 wollte der Kläger über seinen PC gemeinsam mit seiner Tochter die Internetseite der Beklagten aufrufen. Es erschien eine Webseite mit der Aufforderung, sich durch die Eingabe von persönlichen Daten wie seinem Geburtsdatum zu legitimieren. Diese Aufforderung kam dem Kläger seltsam vor. Der Kläger dachte, sein PC könnte womöglich mit einem Virus infiziert sein und wollte zur Sicherheit sein Smartphone benutzen. Mit diesem Gerät rief er die Webseite auf gleichem Wege wie zuvor über den PC auf. Erneut erschien die Webseite wie zuvor mit der Aufforderung, sich durch die Eingabe von persönlichen zu legitimieren. Der Kläger schloss einen Virus sowohl des PCs als auch des Smartphones aus und gab seine Daten auf der Webseite ein. Danach wurde auf der Webseite ein fünfstelliger Zahlencode angezeigt sowie die Mitteilung, dass er gleich angerufen werden würde.
Kurze Zeit später, um 21.36 Uhr, wurde der Kläger von einer Frau angerufen, die sich als Mitarbeiterin der Beklagten ausgab. Diese erklärte, der Kläger müsse sich legitimieren und bat den Kläger die TANApp der Beklagten zu öffnen. Das tat der Kläger über sein Smartphone durch Eingabe seiner PIN. Die App öffnete sich und es erschien ein Button mit einem roten Pfeil. Die Anruferin bat den Kläger, den Pfeil herüber zu schieben. Das tat der Kläger. Die Anruferin fragte den Kläger dann, ob er bei seinem Kontostand Interesse an einem Tagesgeldkonto hätte, was dieser bejahte. Zum Test werde sie 15.000 € von seinem Girokonto auf das neue eingerichtete Tageskonto überweisen. Der Kläger stimmte zu, wobei streitig ist, ob auch in der Höhe von 15.000 €. Der Kläger gab einen – der Höhe nach streitigen – Betrag in seiner TANApp frei. Von dem Konto des Klägers wurden insgesamt 6 Überweisungsaufträge zu je 79.000 € erteilt. Da das Girokonto des Klägers über ein Tageslimit verfügte, wurde nur ein Betrag von 14.999,99 € auf ein Fremdkonto überwiesen. Der Kläger bemerkte erst am nächsten Morgen, dass der Betrag auf seinem Konto fehlte und kein Tagesgeldkonto für ihn eingerichtet worden war. Ein Betrag in Höhe von 5.150 € wurden dem Kläger erstattet. Mit Schreiben vom 25.10.2022 verlangte der Klägervertreter die Beklagte erfolglos zur Zahlung des Restbetrages in Höhe von 9.849 € auf. Mit Schreiben vom 17.11.2022 (Anlage K2) erklärte der Beklagtenvertreter die Aufrechnung mit Gegenansprüchen in gleicher Höhe.
Der Kläger begehrte in dem Gerichtsverfahren vor dem Landgericht Lübeck von seiner Sparkasse, das Geld zurück. Er trägt vor, er habe der Überweisung nur in Höhe von 1 € zugestimmt. In der TANApp sei nicht angezeigt worden, welche Überweisung an wen in welcher Höhe freizugebe war. Eine Kontrolle sei ihm daher nicht möglich und wegen der beabsichtigten Überweisung von nur 1 € auch nicht notwendig gewesen. Er habe nichts falsch gemacht. Er sei auf der Webseite der Beklagten bereits öfter aufgefordert worden, persönliche Daten zur Legitimation einzugeben. Auf dem Server der Beklagten müsse ein Virus gewesen sein. Die Beklagte habe zudem gesetzeswidrig keine starke Authentifizierung angeboten.
Das Landgericht begründete seine klageabweisende Entscheidung wie folgt:
Dem Kläger stehen die geltend gemachten Ansprüche unter keinem rechtlichen Gesichtspunkt zu.
1.
Ein Erstattungsanspruch ergibt sich insbesondere nicht aus § 675u S. 2 BGB.
a.
Nach § 675u S. 2 BGB ist ein Zahlungsdienstleister (z.B. Bank) im Fall eines nicht autorisierten Zahlungsvorgangs verpflichtet, dem Zahler (z.B. Bankkunde) den Zahlungsbetrag zu erstatten. Nicht autorisiert ist ein Zahlungsvorgang, wenn ein Zahlungsauftrag nie erteilt, widerrufen oder nicht wirksam wurde (BeckOGK/M. Zimmermann, 1.11.2023, BGB § 675u Rn. 14). Unstreitig autorisierte der Kläger die Überweisung in Höhe von 1 €. Fraglich ist, ob er auch die weiteren 14.999,99 € autorisierte. Dafür spricht der Ausdruck aus dem System der Beklagten (Anlagen B2 und B9), wonach eine Freigabe in dieser Höhe über die TAN-App des Klägers erfolgte.
b.
Diese Frage kann jedoch offen bleiben. Denn der Anspruch ist jedenfalls durch Aufrechnung erloschen.
aa.
Nach § 675v Abs. 3 Nr. 2 lit. b BGB ist der Zahler bei nicht autorisierten Zahlungsvorgängen verpflichtet, dem Zahlungsdienstleister den dadurch entstandenen Schaden zu ersetzen, wenn der Zahler den Schaden durch vorsätzliche oder grob fahrlässige Verletzung oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments herbeigeführt hat. Grob fahrlässig verhandelt, wer außer Acht lässt, was sich in der konkreten Situation jedem hätte aufdrängen müssen. Diese Voraussetzungen liegen vor. Der Kläger hat grob fahrlässig gegen Ziffer 7.3 der Bedingungen zum Online-Banking (Anlage B3) verstoßen, wonach die Freigabe eines Auftrags erst nach Prüfung der Auftragsdaten erfolgen darf.
Der Kläger trägt selbst vor, in der TANApp sei nicht angezeigt worden, welche Überweisung an wen in welcher Höhe freizugeben war. Damit hat der Kläger die Auftragsdaten vor der Freigabe nicht überprüft. Ohne Anzeige der konkreten Auftragsdaten hätte der Kläger keinerlei Aufträge freigeben dürfen.
Der Kläger handelte auch grob fahrlässig. Dabei ist unerheblich, welchen Betrag der Kläger freizugeben gedachte. Die Gefahr bei der Freigabe auch von nur 1 € hätte sich in der konkreten Situation jedem aufdrängen müssen. Denn es bestanden mehrere deutliche Warnhinweise, die dem Kläger nach eigenem Vortrag auch aufgefallen sind, die er jedoch ignoriert hat. So entsprach zunächst die vom Kläger aufgerufene Webseite erkennbar nicht der Webseite der Beklagten. Unter dem Schriftzug der Beklagten heißt es „Frankfurter Sparkasse“ und die URL lautet „https://sparkase-holstein.org/de/hoppla.html“. Der Kläger hat die Unstimmigkeiten auch erkannt, weshalb er dann statt seines PCs seine Smartphone nutzte. Allein auf die Nutzung eines anderen Gerätes durfte sich der Kläger aber nicht verlassen, insbesondere nicht bei Aufruf der Webseite auf demselben Wege wie zuvor. Ein weiterer deutlicher Warnhinweis war der Anruf zur spätabendlichen Stunde um 21.36 Uhr. Ein Anruf um diese Uhrzeit verpflichtet zu besonderer Vorsicht auch im Falle von veränderten Arbeitszeiten auf Grund der Folgen des Coronavirus. Ebenso deutlich war der Warnhinweis nach dem Vorschlag der Anruferin, bei dem Kontostand jetzt ein Tagesgeldkonto einzurichten. Mit der dann erfolgten Erklärung, zum Test müsse ein bestimmter Betrag überwiesen werden, den der Kläger freigeben müsse, hätte sich spätestens jetzt jedem der Verdacht eines Betruges aufdrängen müssen. Und zwar auch dann, wenn nur ein Betrag von 1 € in Rede stand. Der Kläger hatte keinerlei Unterlagen zu dem angeblich eingerichteten Tagesgeldkonto. Die Gefahr des Geldverlusts bei Freigabe der Überweisung ohne vorherige Kontrolle der Auftragsdaten hätte sich dem Kläger aufdrängen müssen, erst recht bei Erteilung des Überweisungsauftrags durch Dritte.
bb.
Der Schadensersatzanspruch der Beklagten ist auch nicht nach § 675v Abs. 4 BGB ausgeschlossen. Entgegen der Ansicht des Klägers verlangte die Beklagte eine starke Kundenauthentifizierung im Sinne des § 1 Abs. 24 ZAG. Bereits aus dem schriftsätzlichen Vortrag des Klägers sowie seiner persönlichen Anhörung ergibt sich, dass die Beklagte zur Anmeldung und für den Zahlungsauftrag die sogenannte Zwei-Faktor-Authentifizierung verlangte. Danach erfolgt die Identifizierung durch zwei voneinander unabhängige Faktoren der Kategorien Wissen, Besitz, Inhärenz (§ 1 Abs. 24 ZAG). Der Kläger trägt vor, er habe seine Kennung und sein Passwort eingeben müssen (Kriterium Wissen) und sich danach durch Freigabe auf der TANApp seines Smartphones (Kategorie Besitz) legitimieren und den Zahlungsauftrag freigeben müssen.
Einschätzung der Kanzlei Stenz & Rogoz:
Das Urteil ist kritikwürdig. Offensichtlich musste der Kunde bei der Sparkasse eine veraltete TanApp verwenden, die ihn über die Höhe der freigegebenen Aufträge nicht warnte. Dadurch hat sich die Bank der Verletzung einer vertraglichen Nebenpflicht schadensersatzpflichtig gemacht.
Die Kanzlei Stenz & Rogoz vertritt zahlreiche Mandanten, die Opfer eines Kryptobetruges oder eines sog. Phishing geworden sine. Kontaktieren Sie uns: Wir geben Ihnen innerhalb von 48 Stunden éine kostenfreie Einschätzung zu den Erfolgsaussichten eines anwaltlichen Vorgehens.