Wenn Kriminelle durch Phishing-Angriffe Zugang zum Online-Banking erlangen und Konten plündern, stellt sich für Betroffene die entscheidende Frage: Wer haftet für den entstandenen Schaden? Während Banken häufig auf mangelnde Sorgfalt ihrer Kunden verweisen, zeigt die Rechtsprechung ein differenzierteres Bild. Entscheidend sind oft Details wie die Art des Phishing-Angriffs, die Sicherheitsmaßnahmen der Bank und das konkrete Verhalten des Kontoinhabers.
Grundsätzlich haftet die Bank
Kommt es beim Online-Banking zu nicht autorisierten Zahlungsvorgängen, haftet hierfür grundsätzlich die Bank. Die Bank ist dann verpflichtet, dem Kunden den Betrag unverzüglich zu erstatten und sein Konto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.
„Im Fall eines nicht autorisierten Zahlungsvorgangs hat der Zahlungsdienstleister des Zahlers gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte. Diese Verpflichtung ist unverzüglich, spätestens jedoch bis zum Ende des Geschäftstags zu erfüllen, der auf den Tag folgt, an welchem dem Zahlungsdienstleister angezeigt wurde, dass der Zahlungsvorgang nicht autorisiert ist, oder er auf andere Weise davon Kenntnis erhalten hat.“
Der Anspruch ist grundsätzlich auf Wertstellung in Höhe der nicht autorisierten Zahlung gerichtet. Ausnahmsweise kann der Kunde Auszahlung verlangen, wenn er bei der Bank kein Zahlungskonto mehr unterhält, z.B. weil die Kontobeziehung zwischenzeitlich aufgelöst wurde (OLG München, Beschluss vom 4.9.2023 – 19 U 1508/23; OLG Celle, Beschluss vom 17.11.2020 – 3 U 122/20; OLG Frankfurt a. M., Urteil vom 11.5.2017 – 1 U 224/15).
Ein Anspruch auf Auszahlung besteht nach dem Bundesgerichtshof auch dann, wenn das betroffene Konto auch ohne die Wiedergutschrift der nicht autorisierten Zahlungen einen Habensaldo aufweist (das Konto also noch „im Plus“ ist).
„Zwar gewährt § 675u Satz 2 Halbsatz 2 BGB aF im Fall der Belastung eines Zahlungskontos grundsätzlich nur einen Anspruch auf eine Berichtigungsbuchung mit Rückwirkung auf den Zeitpunkt der Belastung (…). Weist allerdings – wie vorliegend – das Konto des Zahlers auch ohne die Wiedergutschrift der nicht autorisierten Zahlungen einen Habensaldo auf, kann der Kontoinhaber direkt die Auszahlung des zu Unrecht belasteten Betrages verlangen (…). Denn bei Bestehen eines Habensaldos bestünde nach der Korrekturbuchung ein Auszahlungsanspruch des Kunden gegen die Bank in Höhe der Korrekturbuchung.“
(BGH, Urteil vom 5. März 2024 – XI ZR 107/22 –, BGHZ 240, 23-38, Rn. 48)
Wann haftet die Bank nicht?
Der Bank bleibt jedoch die Möglichkeit, dem Kunden entweder nachzuweisen, dass er den Zahlungsvorgang selbst autorisiert hat oder dass er seine Sorgfaltspflichten im Zusammenhang mit der Nutzung des Online-Bankings grob fahrlässig verletzt hat (z.B. durch die Weitergabe von Zugangsdaten).
Häufige Streitpunkte im Zusammenhang mit Online-Banking-Betrugsfällen sind daher regelmäßig zwei Fragen:
- Wurde der Zahlungsvorgang vom Kunden selbst autorisiert?
- Falls nein, hat der Kunde grob fahrlässig seine Sorgfaltspflichten im Zusammenhang mit dem Online-Banking verletzt?
Damit kommt der groben Fahrlässigkeit in sämtlichen Verfahren eine maßgebliche Bedeutung zu. Lässt sich das Verhalten des Kunden als grob fahrlässig qualifizieren, steht seinem Erstattungsanspruch ein Schadensersatzanspruch der Bank gegenüber (§ 675v Abs. 3 Nr. 2 BGB).
Wann ist ein Zahlungsvorgang vom Kunden autorisiert?
Nach § 675j Abs. 1 Satz 1 BGB ist ein Zahlungsvorgang autorisiert und dem Zahler gegenüber wirksam, wenn dieser dem Zahlungsvorgang zugestimmt hat. Die Zustimmung kann gemäß § 675j Abs. 1 Satz 2 BGB entweder als Einwilligung oder, sofern zwischen dem Zahler und seinem Zahlungsdienstleister zuvor vereinbart, als Genehmigung erteilt werden. Art und Weise der Zustimmung sind zwischen dem Zahler und seinem Zahlungsdienstleister zu vereinbaren, wobei insbesondere vereinbart werden kann, dass die Zustimmung mittels eines bestimmten Zahlungsauthentifizierungsinstruments erteilt werden kann (§ 675j Abs. 1 Satz 3 und 4 BGB).
Wann liegt ein nicht autorisierter Zahlungsvorgang vor?
Voraussetzung für eine Haftung der Bank ist zunächst ein Zahlungsvorgang, der nicht vom Kunden autorisiert wurde. Das ist letztlich eine Selbstverständlichkeit. Wenn ein Zahlungsvorgang vom Kunden autorisiert wurde, haftet die Bank nicht.
Aufgrund der zweiten Zahlungsdiensterichtlinie (PSD2) sind Banken gesetzlich verpflichtet, von ihren Kunden beim Online-Banking eine sog. starke Kundenauthentifizierung zu verlangen (auch bekannt unter „Zwei-Faktor-Authentifizierung“). Beispiel hierfür ist die Anmeldung im Online-Banking unter Angabe von Benutzerdaten und die Freigabe durch eine Smartphone-App.
Die Beweislast dafür, dass ein Zahlungsvorgang durch den Kunden autorisiert wurde, liegt bei der Bank. Ein Anscheinsbeweis zu Gunsten der Bank kommt nach der Rechtsprechung des Bundesgerichtshofs nur dann in Betracht, wenn aufgrund aktueller Erkenntnisse feststeht, dass das eingesetzte Sicherungsverfahren praktisch unüberwindbar ist, im konkreten Einzelfall ordnungsgemäß angewendet wurde und fehlerfrei funktioniert hat (BGH, Urteil vom 26.01.2016 – XI ZR 91/14).
Was ist der Unterschied zwischen Authentifizierung und Autorisierung?
Banken berufen sich in Missbrauchsfällen häufig pauschal darauf, dass der Zahlungsvorgang ordnungsgemäß authentifiziert wurde. Das ist allerdings nur die halbe Wahrheit.
Der Wortlaut des § 675w BGB unterscheidet strikt zwischen Authentifizierung und Autorisierung: Mit dem Begriff der Autorisierung ist die Zustimmung des Kunden zum Zahlungsvorgang gemeint. Unter Authentifizierung ist die technische und formalisierte Überprüfung der Identitätsbehauptung des Kunden zu verstehen. Eine Authentifizierung ist erfolgt, wenn die Bank die Nutzung eines bestimmten Zahlungsinstruments, einschließlich seiner personalisierten Sicherheitsmerkmale, mit Hilfe eines Verfahrens überprüft hat. Hat die Bank die Anforderungen für eine Authentifizierung erfüllt, so ist hiermit aber nicht automatisch auch die Autorisierung der Zahlung durch den Kunden nachgewiesen. Umgekehrt ist der Nachweis der Autorisierung gescheitert, wenn die Bank die ordnungsgemäße Authentifizierung des Vorgangs nicht darlegen und beweisen kann (vgl. OLG Dresden, Urt. v. 13.10.2022 – 8 U 760/22).
Wann liegt grobe Fahrlässigkeit des Kunden vor?
Banken berufen sich im Zusammenhang mit nicht autorisierten Zahlungsvorgängen häufig auf grobe Fahrlässigkeit des Kunden. So wird Kunden z.B. vorgeworfen, die Zugangsdaten pflichtwidrig Dritten zugänglich gemacht zu haben. Dies ist gerade bei sog. Phishing-Attacken relevant, wo Kriminelle es schaffen, den Kunden zur Eingabe der Zugangsdaten zu bewegen.
Der Bundesgerichtshof definiert grobe Fahrlässigkeit wie folgt:
„Grobe Fahrlässigkeit erfordert einen in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt (…).“
(BGH, Urteil vom 26.01.2016 – XI ZR 91/14)
Der Einwand der groben Fahrlässigkeit kann im Ergebnis dazu führen, dass die Bank den Schaden nicht erstatten muss. Ob eine grobe Fahrlässigkeit des Kunden vorliegt oder nicht, ist aber stets eine Frage des Einzelfalls. Es gibt nach der Rechtsprechung des Bundesgerichtshofs beim Online-Banking auch keinen Anscheinsbeweis für eine grobe Fahrlässigkeit des Kunden:
„Selbst ein objektiv grober Pflichtenverstoß rechtfertigt für sich noch keinen zwingenden Schluss auf ein entsprechend gesteigertes personales Verschulden (…).“
(BGH, Urteil vom 26.1.2016 – XI ZR 91/14)
Unerfahrenheit und Unbeholfenheit können beim Online-Banking eine grobe Fahrlässigkeit auch ausschließen (LG Frankfurt a. M., Urteil vom 12.4.2022 – 2-12 O 202/21).
In welchen Fällen haben Gerichte grobe Fahrlässigkeit des Kunden angenommen?
In der Rechtsprechung wurde grobe Fahrlässigkeit z.B. angenommen,
wenn eine Kundin einem sich als Bankmitarbeiter ausgebenden Anrufer die ihr per SMS übermittelten TANs mitteilt, auch wenn der Anruf unter Anzeige einer Rufnummer der Bank erfolgt und der Anrufer eine Kenntnis von kontobezogenen Informationen belegen kann (OLG Bremen, Beschluss vom 15.4.2024 – 1 U 47/23);
wenn ein Kunde mittels PushTAN und Verifizierung über eine Gesichtserkennung nach einer Phishing-Nachricht die temporäre Erhöhung seines Überweisungslimits und eine anschließende Überweisung freigibt (OLG Frankfurt a. M., Urteil vom 11.5.2017 – 1 U 224/15);
wenn ein Kunde einer ihm unbekannten Person am Telefon den Freischaltcode zur Nutzung des aktualisierten SecureGo-Verfahrens weitergibt (OLG München, Beschluss v. 4.9.2023 – 19 U 1508/23);
wenn eine Kundin vor der Bestätigung des Zahlungsauftrags die Übereinstimmung der ihr auf dem Chipkarten-Lesegerät (TAN-Generator) angezeigten Daten, namentlich der IBAN des Kontos des Zahlungsempfängers und des Überweisungsbetrages mit den für den Auftrag vorgesehenen Daten nicht überprüft hat (OLG Dresden, Urt. v. 13.10.2022 – 8 U 760/22);
wenn einem Kunden per Email die Kontaktaufnahme durch eine Bank angekündigt wird und der Kunde später in einem Telefonat mit einem vermeintlichen Mitarbeiter der Bank mehrere TANs weitergibt (LG Frankfurt a. M., Urteil vom 12.4.2022 – 2-12 O 202/21).
In welchen Fällen liegt keine grobe Fahrlässigkeit des Kunden vor?
Wie bereits dargestellt, gibt es nach der Rechtsprechung keinen Anscheinsbeweis zu Lasten des Kunden bezüglich der Frage, ob der Kunde grob fahrlässig gehandelt hat. Die Bank muss also im Streitfall konkret vortragen, durch welches Verhalten der Kunde seine Sorgfaltspflichten grob verletzt hat.
„Es gibt keinen einen Anscheinsbeweis rechtfertigenden Erfahrungssatz, dass bei einem Missbrauch des Online-Bankings, wenn die Nutzung eines Zahlungsauthentifizierungsinstruments korrekt aufgezeichnet worden und die Prüfung der Authentifizierung beanstandungsfrei geblieben ist, eine konkrete grob fahrlässige Pflichtverletzung des Zahlungsdienstnutzers nach § 675v Abs. 2 BGB vorliegt.“
(BGH, Urteil vom 26. Januar 2016 – XI ZR 91/14 –, BGHZ 208, 331-357)
Wie funktioniert das Chip-TAN-Verfahren?
Bei Anwendung des ChipTAN-Verfahrens muss sich der Nutzer mit seinem Anmeldenamen und seiner PIN in sein Online-Banking-Konto einloggen, dort den Überweisungsauftrag erstellen, den danach automatisch generierten sogenannten Flickercode mit einem externen Chipkarten-Lesegerät, dem TAN-Generator, in den die Chipkarte eingesteckt wird, abscannen und dann auf diesem die nacheinander erscheinende IBAN des Empfängerkontos sowie den Überweisungsbetrag jeweils mit der Taste „OK“ bestätigen sowie zuletzt die danach vom Chipkarten-Lesegerät angezeigte TAN im entsprechenden Feld auf der Website eingeben. Im Falle der Nutzung einer nicht für das Konto freigeschalteten Karte wird eine falsche TAN erzeugt, die zur Ablehnung der Überweisung führt (vgl. OLG Dresden, Urt. v. 13.10.2022 – 8 U 760/22).
Was sollte man nach einem Online-Banking-Missbrauch beachten?
Wenn Sie Opfer eines Online-Banking-Betrugs geworden sind und es zu einem nicht autorisierten Zahlungsvorgang gekommen ist, sollten Sie unbedingt Folgendes beherzigen:
- Melden Sie den Schaden unverzüglich Ihrer Bank
- Lassen Sie durch die Bank ggf. Ihr Online-Banking sperren oder sich neue Zugangsdaten erstellen
- Bewahren Sie sämtliche Kommunikation auf, auch eingehende SMS oder Whatsapp-Nachrichten
- Sollte es zu telefonischen Kontaktaufnahmen mit Kriminellen gekommen sein, speichern Sie nach Möglichkeit die Anrufliste beweissicher ab
- Melden Sie den Vorfall in jedem Fall zusätzlich der Polizei