Online-Banking-Betrug: Sparkasse muss vollen Betrag erstatten!

Wenn Geld auf dem Konto fehlt, das man nicht ausgegeben hat, ist die Bank verpflichtet, den Fehlbetrag zu erstatten. Unter Umständen gilt das sogar dann, wenn der Kontoinhaber bzw. die Kontoinhaberin den Zugriff selbst autorisiert hat. So hat zuletzt das Landgericht (LG) Köln entschieden, dass die Bank 14.000 Euro erstatten muss, die durch sog. Spoofing dem Kontoinhaber entzogen wurden (LG Köln, Urteil v. 08.01.2024, Az.: 22 O 43/23).

Call-ID-Spoofing: Zugang zur Debitkarte erschlichen

Der betroffene Inhaber eines Girokontos gab beim Online-Banking regelmäßig Aufträge über das sog. pushTAN-Verfahren frei. Das funktioniert, indem zunächst in der Online-Banking-App ein Auftrag erteilt wird, der dann mit einem Einmalkennwort bestätigt wird. Um an dieses Kennwort zu kommen, loggt sich der Kunde in der pushTAN-App ein und bestätigt den jeweiligen Auftrag.

Im September 2022 bekam der Kontoinhaber einen Anruf, bei dem die Nummer seiner Sparkasse in seinem Telefon-Display angezeigt wurde. Es war aber nicht die Sparkasse, die anrief. Vielmehr hatte ein Unbekannter bei dem Anruf sog. Call-ID-Spoofing genutzt. Der Anrufer gab sich als Sparkassenmitarbeiter aus. Er berichtete dem Kontoinhaber, dass dessen Konto wegen aktueller Betrugsfälle gesperrt worden sei. Der Kontoinhaber könne eine Entsperrung veranlassen, indem er eine entsprechende Freigabe in der pushTAN-App erteile. Daraufhin wurde in der App ein Auftrag mit dem Text „Registrierung Karte“ angezeigt, den der Kontoinhaber freigab.

Dadurch bestätigte er allerdings nicht die Entsperrung seines Kontos, sondern die Speicherung einer digitalen Version seiner Debitkarte auf dem Smartphone des Anrufers. Anschließend gab dieser innerhalb weniger Tage unter Nutzung von ApplePay etwa 14.000 Euro aus, die dem Konto des Bankkunden belastet wurden. Nachdem die Bank ihrem Kunden davon nur 4.000 Euro erstattete, erhob er Klage vor dem LG Köln.

Sparkasse zur Erstattung des Fehlbetrags verpflichtet

Das Landgericht gab dem Kontoinhaber Recht und verurteilte die Bank zur Zahlung der restlichen 10.000 Euro. Sie sei nach § 675u S. 2 Bürgerliches Gesetzbuch (BGB) verpflichtet, dem Kunden den vollen Betrag zu erstatten, der ohne dessen Autorisierung von seinem Konto abgebucht wurde.

Dabei bestand Einigkeit darüber, dass der Kontoinhaber die einzelnen Teilbeträge über ApplePay nicht selbst freigegeben hat. Zudem ist das Gericht der Auffassung, dass er auch durch seine getätigte Freigabe über die App die späteren Zahlungen nicht autorisiert habe.

Die Sparkasse habe auch keinen Schadensersatzanspruch gegen den Kontoinhaber. Ein solcher setze voraus, dass der Kunde den Zahlungsvorgang, durch den der Schaden entstanden ist, in betrügerischer Absicht, vorsätzlich oder grob fahrlässig verursacht hat.

Gericht verneint grobe Fahrlässigkeit des Kunden

In Betracht kam hier ohnehin nur grobe Fahrlässigkeit, aber auch die verneinte das Gericht. Eine solche liege nur vor bei einem „schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt“. Das aber könne man dem Kontoinhaber nicht vorwerfen. Er habe als langjähriger Kunde der Bank angesichts der in seinem Telefon-Display angezeigten Telefonnummer darauf vertrauen dürfen, einen Bankmitarbeiter am Telefon zu haben.

Auch das fehlende Misstrauen des Kontoinhabers angesichts des Auftrags in der pushTAN-App, der „Registrierung Karte“ und nicht etwa „Entsperrung Karte“ hieß, reichte dem Gericht nicht für grob fahrlässiges Handeln. Der Kontoinhaber hätte in der überraschenden Situation nicht erkennen müssen, dass er mit dem Auftrag „Registrierung Karte“ die Einrichtung eines neuen Zahlungssystems freigibt. Vielmehr hätte die Bank einen eindeutigeren Text verwenden können – etwa einen Hinweis auf ApplePay –, um dem Kontoinhaber zu zeigen, was genau er da freigibt.

Zwar wurde in der App der Hinweis angezeigt, der Kunde möge bitte keinen Auftrag freigeben, den er nicht „explizit beauftragt“ hat. Hier habe der Kontoinhaber aber davon ausgehen dürfen, dass sein am Telefon gegenüber dem vermeintlichen Bankmitarbeiter erteilter Auftrag diese Voraussetzung erfüllt.

Welche Folgen hat das Urteil für die Praxis?

Das Urteil ist noch nicht rechtskräftig. Es handelt sich zudem – wie so oft – um eine Einzelfallentscheidung, die nicht ohne Weiteres auf ähnliche Fälle übertragbar ist. Dennoch gibt sie einige Anhaltspunkte zum Umgang mit Online-Banking-Betrug, die sowohl für Banken als auch für Bankkundinnen und Bankkunden interessant sein können. So sollten Banken Freigabetexte unmissverständlich formulieren, Kundinnen und Kunden hingegen sollten sich nach einer Ablehnung der Erstattung nicht einfach geschlagen geben.

Sie suchen Rat rund ums Online-Banking – ob aus Bankensicht oder aus Sicht von Kundinnen und Kunden: Ich berate Sie gern! Sie erreichen mich unter der 040/ 413 46 98 97 oder per E-Mail info@cs-ra.de.