In diesem Beitrag finden Sie eine Sammlung interessanter Urteile zum Thema Phishing & Kontomissbrauch.
Über die Suchfunktion Ihres Browsers können Sie einfach einen Suchbegriff eingeben und zu den jeweiligen Treffern navigieren.
Haftung des Bürgen für unautorisierte Zahlungsvorgänge
Einwendungen des Zahlungsdienstnutzers aus der Rechtsbeziehung zu dem Zahlungsempfänger, mit denen er geltend macht, dass die Ansprüche des Zahlungsempfängers nicht oder nicht in der geforderten Höhe bestehen, werden von § 676b Abs. 2 Satz 1 BGB nicht erfasst. Dies gilt auch dann, wenn Zahlungsdienstleister und Zahlungsempfänger identisch sind.
Der Bürge muss die vom Zahlungsdienstnutzer als Hauptschuldner nicht beanstandeten unautorisierten oder fehlerhaft ausgeführten Zahlungsvorgänge gegen sich gelten lassen, wenn die Ansprüche und Einwendungen des Hauptschuldners wegen Fristablaufs nach § 676b Abs. 2 Satz 1 BGB ausgeschlossen sind. Bleibt ein Zahlungsdienstnutzer nach einem nicht autorisierten oder fehlerhaft ausgeführten Zahlungsvorgang untätig, stellt dies keinen Verzicht im Sinne des § 768 Abs. 2 BGB dar.
Die vom Zahlungsdienstleister gemäß § 676b Abs. 2 Satz 2 BGB zu erbringende Unterrichtung des Zahlungsdienstnutzers hat bei einem Zahlungsdiensterahmenvertrag gemäß Art. 248 § 7 EGBGB als Mitteilung zu erfolgen. Dies bedeutet, dass der Zahlungsdienstleister die erforderlichen Informationen von sich aus übermittelt, ohne dass der Zahlungsdienstnutzer diese anfordern muss. Ein bloßes Zugänglichmachen der Informationen reicht nur aus, wenn dies der Zahlungsdienstnutzer und der Zahlungsdienstleister gemäß Art. 248 § 10 EGBGB vereinbart haben.
(BGH, Urteil vom 11. Juli 2023 – XI ZR 111/22)
Kein Schadensersatzanspruch der Bank bei Zulassung des chip-TAN-Verfahrens manuell ohne Anzeige von Zahlungsempfänger und Zahlungsbetrag im Display des TAN-Generators
Ein Schadensersatzanspruch der Bank gegen den Zahler ist gemäß § 675 v Abs. 4 Ziffer 1 BGB ausgeschlossen, wenn die Bank des Zahlers eine starke Kundenauthentifizierung im Sinne des § 1 Ziffer 24 des Zahlungsdiensteaufsichtsgesetzes (ZAG) nicht verlangt hat.
Eine starke Kundenauthentifizierung im Sinne des § 1 Ziffer 24 ZAG verlangt im elektronischen Fernzahlungsverkehr eine solche, die Elemente umfasst, die den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen.
Gemäß Art. 5 VO (EU) 2018/389 VO über technische Regulierungsstandards für eine starke Kundenauthentifizierung müssen Zahlungsdienstleister für elektronische Fernzahlungsvorgänge eine starke Kundenauthentifizierung verlangen, die Elemente umfasst, die den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen und deshalb zusätzlich zu den sonst vorzunehmenden Sicherheitsmaßnahmen solche vorsehen, dass Zahlungsbetrag und Zahlungsempfänger dem Zahler angezeigt werden in allen Phasen der Authentifizierung (Generierung, Übertragung und Verwendung des Authentifizierungscodes).
(LG Halle (Saale), Urteil vom 23. Juni 2023 – 4 O 133/22)
Keine grobe Fahrlässigkeit bei verschlüsselter Aufbewahrung der PIN
Eine hinreichend verschlüsselt aufbewahrte PIN im Portemonnaie begründet keine grob fahrlässige Verletzung der Pflicht, die PIN vor unbefugtem Zugriff zu schützen.
(AG München, Urteil vom 02.06.2023 – 142 C 19233/19)
Möglichkeit einer Zahlungsklage wegen nicht autorisierter Zahlungsvorgänge, kein Anscheinsbeweis, wenn Schaden durch zwei verschiedene Ursachen herbeigeführt worden sein kann
Nach § 675u S. 2 BGB muss der Zahlungsdienstleister, wenn der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto zinsneutral wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.
Das schließt einen Zahlungsanspruch jedoch nicht aus. Ein solcher Zahlungsanspruch besteht zum einen, wenn das betreffende Konto zwischenzeitlich nicht mehr existiert. Zum anderen kann der Zahler nach seiner Wahl auch die Auszahlung nach allgemeinen Grundsätzen auf Basis der Kontoabrede begehren, wenn im Zeitpunkt des Auszahlungsverlangens auf dem Konto ein Habensaldo oder eine nicht ausgeschöpfte Kreditlinie bestehen.
Die Regeln über den Anscheinsbeweis sind unanwendbar, wenn der Schaden durch zwei verschiedene Ursachen herbeigeführt worden sein kann, die beide typische Geschehensabläufe sind, für die der Karteninhaber aber nur in einem Fall die Haftung zu übernehmen hätte. Das kommt in Betracht, wenn ein enges zeitliches Aufeinanderfolgen von Entwenden der Karte und dem ersten nicht autorisierten Zahlungsvorgang besteht und deswegen in Betracht zu ziehen ist, dass der Dieb zuvor die persönliche Geheimzahl des Karteninhabers bei einem Zahlungs- oder Abhebevorgang ausgespäht hat.
(OLG Stuttgart, Urteil vom 8. Februar 2023 – 9 U 200/22)
Erstattung missbräuchlicher Zahlungsvorgänge mittels Apple Pay
Wird ein Bankkunde in einer pushTAN-App zur Freigabe mit dem Text „Digitalisierung einer Karte“ oder auch „Registrierung Karte“ aufgefordert, so muss der Kunde nicht erkennen, dass es um die Einrichtung eines Zahlungssystems auf einem mobilen Endgerät der Herstellers Apple Inc. und damit die Freigabe einer Möglichkeit zu Kontoverfügungen geht, die nur von der Verfügungsgewalt über dieses mobile Endgerät abhängt.
Der Bank wäre es ohne weiteres möglich gewesen, durch einen eindeutigen Text, insbesondere durch Verwendung eines Hinweises gerade auf Apple Pay dem Kunden deutlich vor Augen zu führen, welcher Zahlungsdienst hier freigegeben werden soll, um so ohne weiteres zu erkennen, dass es eben um Endgeräte eines bestimmten Herstellers und die Nutzung als Wallet, nicht einer Karte geht.
(LG Köln, Urteil vom 19. Januar 2023 – 15 O 267/22)
Aufforderung zur Überweisung eines Cent-Betrags
Zur Frage der Autorisierung eines letztlich ungewollten Zahlungsvorgangs im Rahmen des Online-Bankings, wenn der Zahlungsdienstnutzer aufgefordert wurde, einen Cent-Betrag zu überweisen, der angeblich nicht vom Konto abgebucht werde, um sich zu verifizieren.
Zu den Anforderungen an die Annahme grober Fahrlässigkeit i.S. von § 675v Abs. 3 Nr. 2b BGB.
(OLG Dresden, Urteil vom 13. Oktober 2022 – 8 U 760/22)
Grobe Fahrlässigkeit bei telefonischer Weitergabe dreier TAN, Mitverschulden des Zahlungsdienstleisters
Im Rahmen des Online-Bankings kann die telefonische Weitergabe dreier TAN den Vorwurf der groben Fahrlässigkeit des Zahlungsdienstenutzers begründen, wenn sich diesem nach den Gesamtumständen des Falles geradezu aufdrängen musste, dass die Aufforderung zur Weitergabe der TAN nicht von dem Zahlungsdiensteleister stammen konnte.
Bei der Anspruchshöhe eines Schadensersatzanspruchs des Zahlungsdiensteleisters gegen den Zahlungsdienstenutzer nach § 675v Abs. 3 Nr. 2 BGB kann ein anspruchsminderndes Mitverschulden des Zahlungsdiensteleisters berücksichtigt werden. Ein solches liegt in Höhe von 50% vor, wenn das das Betrugspräventionssystem des Zahlungsdiensteleisters zunächst fünf zur Nachtzeit vorgenommene Echtzeitüberweisungen als verdächtig erkennt, in der Folge aber dennoch weitere 12 Echtzeitüberweisungen an denselben Zahlungsempfänger zugelassen werden.
(LG Saarbrücken, Urteil vom 9. Dezember 2022 – 1 O 181/20)
Haftung des Zahlers bei einer gefälschten Faxanweisung durch den Zahlungsdienstleister
Zur Haftung des Zahlers im Falle der Ausführung eines Zahlungsvorgangs aufgrund einer gefälschten Faxanweisung durch den Zahlungsdienstleister.
Schadensersatzansprüche des Zahlungsdienstleisters gegen den Zahler können demgegenüber bei fehlender Autorisierung gleichwohl bestehen, selbst wenn sie wirtschaftlich vollständig an die Stelle des nach § 675u Satz 1 BGB entfallenden Aufwendungsersatzanspruchs treten.
Der Zahlungsdienstleister muss nicht zunächst den Anspruch des Zahlers aus § 675u Satz 2 BGB erfüllen, bevor er einen eigenen Schadensersatzanspruch geltend machen kann. Besteht ein Schadensersatzanspruch des Zahlungsdienstleisters, kann in Höhe des Anspruchs eine Gutschrift nach § 675u Satz 2 BGB gemäß den Grundsätzen von Treu und Glauben verweigert werden.
(BGH, Urteil vom 17. November 2020 – XI ZR 294/19 –, BGHZ 227, 343-365)
Rückforderung der Zahlstelle gegenüber einem Finanzagenten
Wer aus einer ihm nicht näher bekannten Quelle eine Banküberweisung erhält, kann sich nicht auf den Einwand der Entreicherung berufen, wenn er sich bewusst der Einsicht verschließt, dass er das Geld nicht behalten bzw. verwenden darf (hier: Bereicherungsschuldner wird über ein soziales Netzwerk durch eine unbekannte Person aufgefordert, internationale Transaktionen in der Größenordnung von 10.000,00 Euro über ein pseudonymisiertes Zahlungssystem vorzunehmen).
(OLG Stuttgart, Urteil vom 17. November 2022 – 2 U 219/21)
Abhebung mit richtiger PIN belegt keine Autorisierung
Die Verwendung von Debit- und Kreditkarten ist nicht autorisiert, wenn die Karte ohne oder gegen den Willen des Karteninhabers eingesetzt wird.
Für die Behauptung der Beklagten, dass die Abhebungen durch die Klägerin selbst autorisiert wurden, ist die Beklagte als Zahlungsdienstleisterin im Verhältnis zur Klägerin als Zahlerin darlegungs- und beweisbelastet.
Alleine der Umstand, dass eine Abhebung mit der richtigen PIN ausgeführt wurde, stellt nicht ohne Weiteres eine Autorisierung dar. Zur Annahme einer Autorisierung reicht daher die bloße Feststellung, dass die richtige PIN verwendet wurde, nicht unbedingt aus.
(AG Bonn, Urteil vom 28. Juni 2022 – 116 C 44/21)
Schadensersatzanspruch einer Bank gegen die Kundin wegen Weitergabe personalisierter Sicherheitsmerkmale an ihren Ehemann
Stellt ein Ehepartner seinem anderen Ehepartner die Zugangsdaten für das Onlinebanking zur Verfügung, ohne dies der Bank anzuzeigen und dem Ehepartner eine Bankvollmacht zu erteilen, so steht der Bank bei einem Phishing-Angriff nicht automatisch ein Schadensersatzanspruch gegen die Kundin gemäß § 675v Abs. 3 Nr. 2 BGB zu, da die Pflichtverletzung nicht kausal für den Eintritt des geltend gemachten Schadens war.
Es fehlt an einem Zurechnungszusammenhang zwischen Pflichtverletzung und nicht autorisierter Zahlung, wenn keine Anhaltspunkte dafür vorliegen, dass die Gefahr des Phishing-Angriffs in irgendeiner Weise erhöht worden ist. Das ist zum Beispiel dann der Fall, wenn es bei Erteilung einer Bankvollmacht an den Ehepartner ebenso zu dem Phishing-Angriff gekommen wäre.
(LG Nürnberg-Fürth, Urteil vom 17. Juli 2020 – 6 O 5935/19)
Grobe Fahrlässigkeit bei Übersenden von TANs an vermeintlichen Bankmitarbeiter
Einen Bankkunden trifft beim Onlinebanking die Pflicht, dafür Sorge zu tragen, dass keine andere Person Kenntnis von PIN / TAN erlangt.
Versendet der Bankkunde eine TAN an einen angeblichen Bankmitarbeiter, weil dieser vorgibt, dass eine unberechtigte Auslandsabbuchung versucht worden sei und deshalb eine angebliche Kontoabsicherung durchgeführt werden müsse, begründet dies einen grob fahrlässigen Sorgfaltspflichtverstoß des Kunden.
(LG Köln, Urteil vom 10. September 2019 – 21 O 116/19)
Zum Vorwurf der leichtfertigen Geldwäsche durch einen Finanzagenten
(LG Frankfurt, Urteil vom 28. Dezember 2018 – 2-25 O 267/17)
Grobe Fahrlässigkeit bei Überweisung auf ein polnisches Konto
Überprüft ein Kunde den Inhalt einer ihm übermittelten SMS nicht sorgfältig und übersieht deshalb, dass es zu einer Überweisung auf ein polnisches Konto kommt, ist dies als grob fahrlässig einzustufen.
(OLG Oldenburg, Beschluss vom 21. August 2018 – 8 U 163/17)
Keine Haftung des Kontoinhabers bei abgefangener SMS-Tan
Haben Unbefugte die korrekte PIN zur Erteilung eines Zahlungsauftrags per Online-Banking eingesetzt, so trägt die Bank die Beweislast dafür, dass der Kunde das Abhandenkommen der PIN zu vertreten habe. Der Beweis des ersten Anscheins spricht nicht gegen den Kunden. Der Kunde hat jedoch im Wege der sekundären Darlegungslast zu den seinerseits getroffenen Sicherheitsvorkehrungen vorzutragen.
Ermöglicht der Mobilfunkanbieter des Online-Banking-Nutzers schuldhaft Unbefugten das Abfangen von per SMS versandten Transaktionsnummern, hat der Nutzer dies nicht zu vertreten.
Wer Online-Banking im smsTAN-Verfahren nutzt, ist nicht verpflichtet, eine Störung seines Mobiltelefons der Bank zu melden.
Wird die Beiziehung einer strafrechtlichen Ermittlungsakte nicht zum Zwecke des Beweises einer konkreten Behauptung beantragt, ist das Zivilgericht nicht zur Beiziehung verpflichtet.
(LG Kiel, Urteil vom 22. Juni 2018 – 12 O 562/17)
Zur Darlegungslast hinsichtlich einer Verletzung der Pflichten aus § 675m BGB
Erhebt ein Bankkunde pauschal den Vorwurf gegen seine Bank, diese habe bei einer Online-Übermittlung der TAN keine gesicherte Verbindung ermöglicht und damit kein wirksames PIN/TAN-System zur Verfügung gestellt, das verwendete IT-System sei veraltet und gegenüber Angriffen Dritter im Rahmen des Zumutbaren nicht geschützt, genügt dies nicht den Anforderungen an einen substantiierten Vortrag. Für die Einholung eines Sachverständigengutachtens ist dann kein Raum.
(LG München I, Beschluss vom 16. Juni 2017 – 32 S 1552/17)
Haftung eines Finanzagenten
Ein vermeintlich legal handelnder Finanzagent, der sein Girokonto für die Weiterleitung von Geldbeträgen zur Verfügung stellt, haftet nicht für den Verlust von eingegangenen und weitergeleiteten Geldern eines Dritten aus Betrugsgeschäften. Ein solcher Anspruch folgt insbesondere nicht aus § 823 Abs. 2 BGB i.V.m. § 8 Abs. 1 ZAG oder § 261 Abs. 5 StGB oder § 812 Abs. 1 S. 1 BGB.
(LG Krefeld, Urteil vom 30. September 2016 – 1 S 30/16)
Beweislast bei PIN/TAN-Verfahren)
(AG Berlin-Mitte, Urteil vom 20. April 2016 – 15 C 20/15)
Anscheinsbeweis bei Missbrauch im Online-Banking, Anforderungen an die Feststellung grober Fahrlässigkeit
Bei dem Nachweis der Autorisierung eines Zahlungsvorgangs mittels eines Zahlungsauthentifizierungsinstruments ist nach § 675w Satz 3 BGB Voraussetzung einer Anwendung der Grundsätze des Anscheinsbeweises, dass auf Grundlage aktueller Erkenntnisse die allgemeine praktische Unüberwindbarkeit des eingesetzten Sicherungsverfahrens sowie dessen ordnungsgemäße Anwendung und fehlerfreie Funktion im konkreten Einzelfall feststehen.
Der Zahlungsdienstnutzer muss zur Erschütterung eines für die Autorisierung eines Zahlungsauftrags sprechenden Anscheinsbeweises keinen konkreten und erfolgreichen Angriff gegen das Authentifizierungsinstrument vortragen und beweisen, sondern kann sich auch auf außerhalb des Sicherheitssystems des Zahlungsdienstleisters liegende Umstände stützen, die für einen nicht autorisierten Zahlungsvorgang sprechen.
Es gibt keinen einen Anscheinsbeweis rechtfertigenden Erfahrungssatz, dass bei einem Missbrauch des Online-Bankings, wenn die Nutzung eines Zahlungsauthentifizierungsinstruments korrekt aufgezeichnet worden und die Prüfung der Authentifizierung beanstandungsfrei geblieben ist, eine konkrete grob fahrlässige Pflichtverletzung des Zahlungsdienstnutzers nach § 675v Abs. 2 BGB vorliegt.
Zur Anwendbarkeit der Grundsätze der Anscheinsvollmacht und eines Handelns unter fremdem Namen bei einem Missbrauch des Online-Bankings.
(BGH, Urteil vom 26. Januar 2016 – XI ZR 91/14)
Beweis fahrlässigen Handelns bei einer Trojaner-Attacke
(LG Oldenburg (Oldenburg), Urteil vom 15. Januar 2016 – 8 O 1454/15)
Grobe Fahrlässigkeit bei Preisgabe einer mittels TAN-Generators generierten TAN
(LG Köln, Urteil vom 30. Juli 2015 – 15 O 505/14)
Rücküberweisungstrojaner
(LG Bonn, Urteil vom 31. März 2015 – 3 O 387/14)
Phishing darf als bekannt vorausgesetzt werden
(OLG Hamm, Beschluss vom 16. März 2015 – I-31 U 31/15)
Beantwortung von Phishing Mails ist grob fahrlässig
(LG Essen, Urteil vom 04. Dezember 2014 – 6 O 339/14)
Grobe Fahrlässigkeit bei Herausgabe einer TAN, wenn diese sonst anders generiert wird
(LG Köln, Urteil vom 07. Oktober 2014 – 21 S 5/14)
Zur Beweislast beim Smart-TAN-Verfahren
(LG Darmstadt, Urteil vom 28. August 2014 – 28 O 36/14)
Zur Beweislast beim SMS-TAN-Verfahren
(LG Köln, Urteil vom 26. August 2014 – 3 O 390/13)
Autorisierter Zahlungsvorgang trotz Einsatzes eines Trojaners
(LG Karlsruhe, Urteil vom 23. Mai 2014 – 20 O 24/13)
Mitverschulden des Bankkunden bei unterlassener Rücksprache mit der Bank
(AG Köln, Urteil vom 26. Juni 2013 – 119 C 143/13)
Grobe Fahrlässigkeit bei Pharmingattacke
(AG Düsseldorf, Urteil vom 06. Juni 2013 – 37 C 13695/12)
Grobe Fahrlässigkeit bei Eingabe mehr als einer TAN
(AG Krefeld, Urteil vom 06. Juli 2012 – 7 C 605/11)
Fahrlässigkeit des Bankkunden bei gleichzeitiger Eingabe von zehn TAN
(BGH, Urteil vom 24. April 2012 – XI ZR 96/11)
Grobe Fahrlässigkeit bei Nutzung des „iTAN“-Verfahrens
(OLG München, Urteil vom 23. Januar 2012 – 17 U 3527/11)
Grobe Fahrlässigkeit durch Eingabe von 40 TANs
(LG Berlin, Urteil vom 08. November 2011 – 21 O 80/11)
Verwendung eines herkömmlichen TAN Systems als Sorgfaltspflichtverletzung der Bank
(KG Berlin, Urteil vom 29. November 2010 – 26 U 159/09)