Kein Anscheinsbeweis für die Bank : Hoffnung für die Opfer von Onlinebanking Betrugsfällen

Die Fälle des Social Engineering

Der Fall, den das Landgericht Heilbronn erst jüngst zu entscheiden hatte, schien klar zu sein. Ein Kunde der Volksbank hatte einen Anruf erhalten, in dem sich der Anrufer als Mitarbeiter der Bank ausgab und dem Kunden mitteilte, dass durch mehrere unbefugte Transaktionen das Konto des Kunden  in Höhe von ca. 9.000 € belastet worden sei. Man müsse nun ganz schnell reagieren, um diese Transaktionen rückgängig zu machen. Auf dem Mobiltelefon des Kunden befanden sich sowohl die Banking-App, als auch die Push-TAN-App. Der Kunde konnte also über seine Banking-App auf dem Mobiltelefon die TAN generieren und mit der Push-TAN-App auf demselben Mobiltelefon die Freigabe der Überweisung in Auftrag geben. Der Kunde kam der Aufforderung des angeblichen Mitarbeiters der Volksbank nach und übermittelte diesem die aus seinem Gerät generierten TANs übers Telefon, damit dieser die angeblichen missbräuchlichen Verfügungen rückgängig machen konnte. Tatsächlich wurden dann mit diesen TAN´s des Kunden erst die eigentlichen missbräuchlichen Verfügungen durchgeführt.

Die grobe Fahrlässigkeit als individueller Verschuldensvorwurf

Das Landgericht Heilbronn entschied in diesem Fall des „Social Engineering„, dass der Kunde wegen dieses Schadens keinen Erstattungsanspruch gegen die Bank hätte, weil er sich durch die Übermittlung der drei TAN´s grob fahrlässig verhalten habe (siehe Landgericht Heilbronn, Urteil vom 16.5.2023, Az. Bm 610/23). Es ist zwar richtig, dass die Online-Banking-Bedingungen der einschlägigen Banken vorsehen, dass insbesondere die Herausgabe von TAN´s an Dritte grob fahrlässig zu werten ist und durch die einschlägige Berichterstattung solche Fälle auch bekannt sind. Allerdings kann man sich auch in diesen Fällen des Social Engineering vortrefflich darüber streiten, ob tatsächlich ein solches Verhalten des Kunden in dieser Situation grob fahrlässig zu werten ist. Zu berücksichtigen ist, dass der Kunde durch solche Anrufe überrumpelt wird und sich in einer sehr ungewöhnlichen Ausnahmesituation befindet, in dem ihm keine Zeit gegeben wird, erst einmal in Ruhe abzuwägen was zu tun ist.  Gerade ältere Personen, sind durch solche Anrufe oft überfordert, so dass ihnen dieser individuelle Verschuldensvorwurf eines grobfahrlässigen Verhaltens nicht gemacht werden kann. Hinzu kommt das Sie durch geschulte Täter massiv unter Druck gesetzt werden.

Die starke Kundenauthentifizierung 

Bemerkenswert war jedoch, dass das Landgericht Heilbronn diesen Fall dazu nutzte, um festzustellen, dass die Bank nicht mehr den Anscheinsbeweis für ein unüberwindbares Sicherheitsverfahren für sich in Anspruch nehmen könne, wenn sich sowohl die Banking-App als auch die Push-TAN-App auf demselben Smartphone befinden würde. Für ein sogenanntes starkes Kundenauthentifizierungsverfahren wird nach § 1 Abs. 24 Zahlungsdiensteaufsichtgesetz (ZAG) nämlich gefordert, dass diese Authentifizierung durch den Kunden durch mindestens zwei voneinander unabhängige Elemente (Besitz und Wissen) durchgeführt werden muss. Hier setzt das Landgericht Heilbronn an, und erklärt, dass in den Fällen, in denen sich sowohl die Banking-App als auch die pushTAN-App auf einem Gerät befindet, nicht mehr von zwei getrennten Kommunikationswegen die Rede sein kann und deshalb die Voraussetzungen nach § 1 Abs. 24 ZAG, nämlich dass die Bank eine starke Kunden Authentifizierung durchführt, nicht mehr vorliegent. Dies hat sehr weit reichende Folgen´, überlegt man, dass fast jedes Sicherheitssystem der Banken inzwischen von dem smsTAN Verfahren auf das pushTAN-Verfahren mit der App auf demselben mobilen Endgerät übergegangen sind.

Kein Anscheinsbeweis für die Banken 

Sollte nämlich nicht das Erfordernis einer starken Kundenauthentifizierung nach § 1 Abs. 24 ZAG erfüllt sein, weil sowohl Banking- als auch pushTAN-App sich auf demselben Endgerät befinden, kann die Bank sich nicht mehr auf den Anscheinsbeweis nach § 675w BGB berufen und bleibt im Zweifel beweisfällig, da sie sich in der Darlegungs- und Beweislast für das grob fahrlässige Verhalten des Kunden befindet. Noch weiter gedacht würde dann hier § 675 v Abs. 4 BGB greifen, wonach die Bank keinen Schadensersatzanspruch gegen den Kunden hat, wenn sie selbst kein Sicherheitsverfahren mit einer starken Kunden Authentifizierung nach § 1 Abs. 24 ZAG anbietet.

Kostenlose Ersteinschätzung

Gerne sind wir bereit sie im Rahmen einer kostenlosen erst Einschätzung zu beraten