MIR-Newsletter

Der MIR-Newsletter informiert Sie regelmäßig über neue Inhalte in MEDIEN INTERNET und RECHT!

Schließen Abonnieren
MIR-Logo mobil

Logo MEDIEN INTERNET und RECHT
Logo MEDIEN INTERNET und RECHT

Kurz notiert // Zivilrecht



Oberlandesgericht Frankfurt a.M.

Phishing - Keine Haftung der Bank für einen aufgrund eines Phishing-Angriffs vom Kunden grob fahrlässig freigegebenen Überweisungsauftrag

OLG Frankfurt a.M., Urteil vom 06.12.2023 - 3 U 3/23; Vorinstanz: LG Frankfurt a.M., Urteil vom 09.12.2022 - 2-25 O 41/22

MIR 2024, Dok. 017, Rz. 1


1
Das Oberlandesgericht Frankfurt a.M. entschied mit Urteil vom 06.12.2023 (3 U 3/23), dass ein Bankkunde grob fahrlässig handeln kann, wenn er mittels PushTAN und Verifizierung über eine Gesichtserkennung nach einer Phishing-Nachricht die temporäre Erhöhung seines Überweisungslimits und eine anschließende Überweisung freigibt und dabei - trotz atypischer Abläufe - eine sorgfältige Prüfung der Vorgänge unterlässt. Die Bank schulde dann nicht die Rückerstattung des überwiesenen Betrags.

Zur Sache:

Der Kläger, Rechtsanwalt und Steuerberater in einer internationalen Sozietät, führt bei der Beklagten ein Girokonto. Online-Transaktionen bestätigt er mit dem sogenannten PushTAN-Verfahren. Sobald in seinem Online-Banking ein Auftrag erteilt wird, erhält er über die auf seinem Smartphone installierte PushTAN-App eine Benachrichtigung und wird zur Freigabe des Auftrags aufgefordert. Zusätzlich hat er eingestellt, dass seine Identität über die Gesichtserkennung des Smartphones bestätigt werden muss. Sein Überweisungslimit lag bei EUR 10.000,00.

Der Kläger erhielt im September 2021 eine SMS mit dem Hinweis, dass sein Konto eingeschränkt worden sei. Es solle sich für ein neues Verfahren anmelden und hierzu einem Weblink folgen, der das Wort "Sparkasse" enthielt. Die im Absender der SMS genannte Telefonnummer hatte die Beklagte in der Vergangenheit bereits verwendet, um den Kläger über vorrübergehende Sperrungen nach Sicherheitsvorfällen zu informieren. Der Kläger folgte dem in der SMS angegebenen Link. Anschließend wurde er von einer männlichen Person angerufen und bestätigte auf Anweisung des Anrufers seinen Angaben nach "etwas" in der PushTAN-App der Beklagten. Am selben Tag wurde das Konto des Klägers mit einer Überweisung i.H.v. EUR 49.999,99 belastet und als Empfänger eine männliche Person mit Vor- und Nachnamen angegeben.

Mit seiner Klage begehrt der Kläger von der Beklagten die Gutschrift dieses Betrags. Das Landgericht hat die Klage abgewiesen.

Entscheidung des Oberlandesgerichts: Bank schuldet keine Gutschrift - Kläger hat grob fahrlässig seine Pflichten verletzt

Die hiergegen gerichtete Berufung hatte auch vor dem OLG keinen Erfolg. Die Beklagte schulde im Ergebnis nicht die Gutschrift des Betrags, da der Kläger grob fahrlässig seine Pflichten verletzt habe, so das OLG.

Für die Limitänderung fordere die Beklagte eine starke Kundenauthentifizierung mit PIN und PushTAN. Gemäß den Aufzeichnungen der Beklagten sei am Tag der Überweisung eine PushTAN-Freigabe für ein temporäres Tageslimit von EUR 50.000,00 angefordert worden, die per Gesichtserkennung auch erteilt worden sei. Von derselben IP-Adresse aus sei nachfolgend eine PushTAN-Freigabe für die streitgegenständliche Überweisung über EUR 49.999,99 angefordert und ebenfalls per Gesichtserkennung erteilt worden.

In geschäftlichen Dingen erfahren - Erinnerung an Nebendetails ungenau

Damit sei der Vortrag des Klägers, nur einmal "etwas" in seiner PushTAN-App mittels Gesichtskennung bestätigt zu haben, nicht glaubhaft. Aufgrund der beruflichen Qualifikation des Klägers könne unterstellt werden, dass er in geschäftlichen Dingen grundsätzlich erfahren sei. Er habe auch selbst berichtet, Online-und Telefonbanking bei mehreren Instituten zu nutzen und mit den grundlegenden Funktionen von Banking- bzw. TAN-Apps vertraut zu sein. Da die Erinnerung des Klägers an Nebendetails des Ablaufs sehr ungenau gewesen seien, spreche eine sehr hohe Wahrscheinlichkeit dafür, dass auch seine Erinnerung an die Anzahl der von ihm abgegebenen PushTAN-Bestätigungen unzuverlässig sei.

Authentifizierungsinstrument in die Hände des Anrufers gelegt

Der Kläger habe durch die Bestätigung von PushTANs auf Anforderung des Anrufers hin gegen seine Verpflichtung, Sicherheitsmerkmale vor unbefugten Zugriff zu schützen, verstoßen und einem unbekannten Dritten Zugriff auf ein personalisiertes Sicherheitsmerkmal gewährt. Dadurch habe er faktisch die Kontrolle über das Authentifizierungsinstrument PushTAN in die Hände des Anrufers gelegt.

Prüfungspflichten: Freigabe einer PushTAN auf telefonischen Zuruf begründet den Vorwurf grober Fahrlässigkeit

Die Freigabe einer PushTAN auf telefonischen Zuruf hin begründe den Vorwurf der groben Fahrlässigkeit in objektiver und subjektiver Hinsicht. Bei der Freigabeaufforderung werde dem Kunden grundsätzlich angezeigt, für welchen konkreten Vorgang - etwa eine Überweisung in konkreter Höhe - die TAN geschaffen wurde. Beachtet ein Kunde diese deutlichen Hinweise nicht und erteilt die Freigabe, ohne auf die Anzeige zu achten, liege hierin kein bloß einfach fahrlässiger Pflichtverstoß mehr, so das Oberlandesgericht. Bei Nutzung einer App, die explizit der Freigabe von Finanztransaktionen diene, müsse es im Allgemeinen jedem einleuchten, dass die Anzeige zur Kenntnis zu nehmen und gründlich zu prüfen ist.

Atypischer Ablauf - Phishing-Nachrichten sind ein bekanntes Phänomen

Soweit sich der Kläger auf einen atypischen Ablauf in der App berufe, auf die er durch den Klick auf den in der SMS angegebenen Link geraten sei, könne ihm nicht entgangen sein, dass sämtliche Banken seit Jahren vor so genannten Phishing-Nachrichten warnten. Diese erweckten den ersten Eindruck, von einem Zahlungsdiensteanbieter zu stammen, führten typischerweise aber zu gefälschten Websites. Dieses kriminelle Phänomen werde seit 2006 öffentlich breit diskutiert. Hier handele es sich offensichtlich um eine derartige Phishing-Nachricht. Dies habe der Kläger auch spätestens nach der Aufforderung, persönliche Sicherheitsmerkmale im Rahmen einer von ihm selbst als "atypisch" wahrgenommenen Umgebung freizugeben, erkennen müssen. Spätestens an diesem Punkt hätte für den Kläger die Überlegung nahegelegen, dass er einem Betrugsversuch aufgesessen war.

Die Entscheidung ist nicht rechtskräftig (Stand: 15.02.2024). Mit der Nichtzulassungsbeschwerde hat der Kläger die Zulassung der Revision beim BGH begehrt.

(tg) - Quelle: PM Nr. 9/2024 des OLG Frankfurt a.M. vom 15.02.2024

Bearbeiter: Rechtsanwalt Thomas Ch. Gramespacher
Online seit: 15.02.2024
Kurz-Link zum Artikel: http://miur.de/3346
// Artikel gesammelt "frei Haus"? Hier den MIR-Newsletter abonnieren
dejure.org StellenmarktAnzeige