Betrüger brachten einen Sparkassenkunden mittels Spoofing dazu, ihnen Zugang zu seinem Konto zu gewähren. Sie buchten in der Folge insgesamt 14.000 Euro ab, die der Kunde von der Bank zurückforderte. Zu Recht, wie nun das LG Köln entschied.
Fehlt Geld auf dem Konto, ohne dass man es ausgegeben hat, muss die Bank einem den abgebuchten Betrag zurückerstatten. Dies kann sogar dann gelten, wenn man den Zugriff auf das Konto irrtümlich selbst autorisiert hat. Dies entschied das Landgericht (LG) Köln mit am Mittwoch veröffentlichten Urteil (v. 08.01.2024, Az. 22 O 43/22) und gab damit der Klage eines Sparkassenkunden statt, der Opfer eines Betrugs geworden war.
Der Mann besaß ein Girokonto, bei dessen Online-Banking er Aufträge mit dem sogenannten pushTAN-Verfahren freigibt. Dabei erteilt der Nutzer zunächst einen Auftrag in der Online-Banking-App – beispielsweise eine Überweisung oder die Freischaltung eines Zahlungsdienstes wie ApplePay. Im zweiten Schritt muss er diesen Auftrag über eine TAN, also ein Einmalkennwort, bestätigen. Dazu loggt er sich in einer anderen App, der pushTAN-App, ein und bestätigt den jeweiligen Auftrag.
Im September 2022 rief ein Unbekannter den Bankkunden an. Auf dem Display seines Telefons wurde die Nummer der Sparkasse angezeigt, denn der Anrufer hatte sog. Call-ID-Spoofing benutzt. Dieser gab sich als Sparkassenmitarbeiter aus und teilte dem Bankkunden mit, dass die Bank aufgrund aktueller Betrugsfälle dessen Konto gesperrt habe. Er könne es wieder entsperren, wenn der Kunde eine Freigabe über die pushTAN-App erteile. In der App erschien daraufhin ein Auftrag mit dem Text "Registrierung Karte", den der Kläger freigab.
Betrüger ertrickst sich Zugang zur digitalen Debitkarte
In Wahrheit bestätigte der Kläger damit allerdings die Speicherung einer digitalen Version seiner Debitkarte auf dem Handy des Betrügers. Der Täter gab daraufhin innerhalb weniger Tage mit dieser Debitkarte unter Nutzung von ApplePay 14.000 Euro aus, die vom Konto des Mannes abgebucht wurden. Die Sparkasse erstattete dem Kunden davon 4.000 Euro, auf dem Verlust von 10.000 Euro blieb er sitzen. Er erhob deshalb Klage zum LG Köln, das ihm vollumfänglich Recht gab.
Die Sparkasse müsse dem Mann die gesamten 14.000 Euro gemäß § 675u S. 2 Bürgerliches Gesetzbuch (BGB) zurückzahlen. Danach ist die Bank verpflichtet, ihrem Kunden den Betrag zu erstatten, der ohne dessen Autorisierung vom Konto abgebucht wurde.
Dass der Kläger die Zahlung der einzelnen Teilbeträge über ApplePay nicht selbst freigegeben hat, stand zwischen den Parteien fest. Auch dadurch, dass der Kunde zuvor eine Freigabe über die App erteilte, habe er die späteren Zahlungen nicht autorisiert, so das Gericht.
Der Sparkasse stehe auch kein Schadensersatzanspruch gegen den Kläger zu. Ein solcher bestehe nur, wenn der Bankkunde den Zahlungsvorgang, durch welchen der Schaden entstanden ist, in betrügerischer Absicht oder vorsätzlich oder grob fahrlässig verursacht hat.
Wo Bank drauf steht, muss auch Bank drin sein
Grobe Fährlässigkeit verneinte das LG hier bei dem getäuschten Bankkunden. Diese liege nur bei einem "schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt" vor. Dies könne dem Kläger nicht vorgeworfen werden. Als langjähriger Kunde habe er durch die Anzeige der Nummer seiner Bank auf dem Handy-Display darauf vertrauen dürfen, dass er mit einem Mitarbeiter der Sparkasse telefonierte.
Dass der Kläger nicht misstrauisch wurde, weil der Auftrag in der pushTAN-App "Registrierung Karte" und nicht etwa "Entsperrung Karte" hieß, genügte dem LG nicht für, um grobe Fahrlässigkeit anzunehmen. Der Begriff "Registrierung" sei derart weit, dass der Kläger in der überrumpelnden Situation nicht hätte erkennen müssen, dass er damit die Einrichtung eines neuen Zahlungssystems autorisiert. Die Bank hingegen hätte ihrem Kunden durch Verwendung eines eindeutigeren Textes beispielsweise mit einem Hinweis auf ApplePay zeigen können, was genau er freigibt.
In der App wurde zwar vor der Freigabe der Hinweis angezeigt, der Kunde solle keinen Auftrag freigeben, den er nicht "explizit beauftragt" hat. Im vorliegenden Fall habe der Mann jedoch davon ausgehen dürfen, dass sein am Telefon an den vermeintlichen Bankmitarbeiter erteilter Auftrag, die Karte zu entsperren, die Voraussetzungen einer Beauftragung erfüllt.
Die Entscheidung ist noch nicht rechtskräftig.
hes/LTO-Redaktion
Nach Online-Banking-Betrug mit falscher Nummer: . In: Legal Tribune Online, 31.01.2024 , https://www.lto.de/persistent/a_id/53766 (abgerufen am: 02.11.2024 )
Infos zum Zitiervorschlag