Online-Banking-Betrug: Wann darf die Bank die Erstattung verweigern?

Früher hat man die Banken ausgeraubt, heute raubt man deren Kunden aus. So lässt sich das Phänomen Online-Banking-Betrug beschreiben.

Wenn früher eine Bank in Hollywood-Manier ausgeraubt wurde, hätte Ihnen niemand ernsthaft gesagt: „Da kann man nichts machen, Ihr Geld ist nun leider weg.“

Beim Online-Banking-Betrug sieht das heute anders aus: Hier wird häufig der Vorwurf erhoben, der Kunde sei selbst hierfür verantwortlich, eine Erstattung scheide daher aus.

Es gibt tatsächlich Fälle, in denen eine Bank auch bei eindeutig nicht vom Kunden veranlassten Zahlungsvorgängen keine Erstattung vornehmen muss. Nämlich wenn dem Kunden Vorsatz oder grobe Fahrlässigkeit vorgeworfen werden kann (§ 675v Abs. 2 BGB).

Von grober Fahrlässigkeit spricht man, wenn die erforderliche Sorgfalt in besonders schwerem Maße außer Acht gelassen wird. Oder anders gesagt, wenn der Kunde wichtige Sorgfaltsregeln unter Inkaufnahme eines möglichen Schadens ignoriert. Als grob fahrlässig ist es z. B. anzusehen, wenn der Kunde grundlegende Sicherheitsvorgaben seiner Bank nicht beachtet.

Gerade der Begriff der groben Fahrlässigkeit bietet immer wieder Raum für Diskussionen. Denn die Methoden, mit denen sich Kriminelle an die Konten von Bankkunden machen, entwickeln sich ständig fort. Jüngst hatte zum Beispiel das Landgericht Köln über einen Fall zu entscheiden, in welchem ein Sparkassenkunde von Kriminellen angerufen wurde. Auf seinem Display wurde dabei die Nummer der Sparkasse angezeigt (Call-ID-Spoofing). Dem Bankkunden wurde mitgeteilt, dass die Bank aufgrund aktueller Betrugsfälle sein Konto gesperrt habe, er könne es jedoch wieder entsperren. Dazu müsse der Kunde eine Freigabe über seine pushTAN-App erteilen. Der Kunde folgte diesen Anweisungen und ermöglichte so Verfügungen von ca. 14.000 EUR über Apple-Pay. Das Landgericht Köln verneinte in dieser Situation eine grobe Fährlässigkeit (LG Köln, Urteil vom 08.01.2024, Az. 22 O 43/22).

Eine Sammlung von Urteilen zu dieser Thematik habe ich auf dieser Seite veröffentlicht:

https://hofauer.com/phishing/

Einen wichtigen Punkt möchte ich in diesem Zusammenhang noch erwähnen: Es gibt keinen allgemeinen Erfahrungssatz, wonach die korrekte Aufzeichnung der Nutzung eines Sicherheitsmerkmals (z.B. pushTAN) und die beanstandungsfreie Prüfung für eine grob fahrlässige Pflichtverletzung spricht. Die Bank bzw. Sparkasse muss gegenüber dem Kunden konkret nachweisen, welche Sorgfaltspflichten von ihm verletzt wurden.