Landgericht Köln: Phishing via Apple-Pay/ Google Pay/ giropay - Sparkasse muss Bankkunden Schaden erstatten

Per Urteil vom 09.03.2023 hat das Landgericht Köln der Klage eines von ilex Rechtsanwälte vertretenen Bankkunden stattgegeben, der gegen seine Bank einen Anspruch aufgrund von nichtautorisierten Zahlungsanweisungen geltend gemacht hatte, die er selber nicht autorisiert hatte. Straftäter hatten sich offenbar Zugang zu seinem Online Banking verschafft und in einem anschließenden Telefonat mit dem Bankkunden, bei dem sich die Täter als vermeintliche Bankmitarbeiter ausgaben, erreichen können, dass der Bankkunde unbeabsichtigt und ohne dies zu Wissen, die Bezahlart Apple Pay zugunsten eines Smartphones der Straftäter freischaltet. Anschließend sind die Täter im Namen des Bankkunden auf Einkaufstour gegangen und haben über 100 Zahlvorgänge in verschiedenen Geschäften ausgelöst. Aktuell existieren sehr viele weitere Fälle aus dem Tatzeitraum 2021-2023, die ähnlich verlaufen sind. Der Entscheidung aus Köln kommt insofern grundsätzliche Bedeutung zu. Die Entscheidung des Landgerichtes Köln ist noch nicht rechtskräftig.

Was war geschehen?

Der Bankkunde erhielt, wie im gleichen Zeitraum sehr viele andere Bankkunden auch, einen Anruf, vermeintlich von einem Mitarbeiter der eigenen Sparkasse. Der Anrufer konnte sich mit Detailinformationen legitimeren, die er nur wissen konnte, weil er offensichtlich bereits Zugang zum Online-Banking der Sparkasse und dort zum Konto des Mandanten hatte. Der sich als Bankmitarbeiter vorstellende Anrufer erinnerte den Mandanten an eine E-Mail, die er bzgl. der Aktualisierung von AGB erhalten hatte. Die vermeintlich notwendige Aktualisierung der AGB sei erforderlich, damit der Bankkunde seine „Girokarte“ weiter nutzen könne. Der Anrufer des Kreditinstituts teilte dem Mandanten aber mit, dass er die AGB auch sofort mittels einer einzigen Freigabe in der TAN-App bestätigen könne. Der Inhalt der freigegebenen TAN erschien unverdächtig bzw. im Kontext passend. Es handelte sich insbesondere um keine Zahlungsautorisierung. Einige Tage entdeckte der Bankkunde bei einer Routinekontrolle seines Online-Banking, über 100 von ihm nicht autorisierte und abgehende Einzeltransaktionen über einen mittleren fünfstelligen Betrag.

Bericht in der ARD

Am 29.11.2022 berichtete über diese Art von Tathandlungen, die über den Bezahldienst Apple Pay liefen, auch der Südwestdeutsche Rundfunk SWR in der Sendung Marktcheck. In dem Beitrag wurde auch Dr. Schulte am Hülse als Cybercrime-Experte interviewt. Er meint zu dieser Art von Tathandlung: „Der Einstieg in die Tat ist es stets, dass die Sparkasse keine starke Kundenauthentifizierung (auch Zwei-Faktor-Authentifizierung) beim Login in das Online Banking angeboten hat. Ihr Fehlen macht es den Tätern besonders einfach, illegal im Online Banking selber Apple Pay, Google Pay oder giropay freizuschalten. Der Telefonanruf beim Bankkunden ist dann nur noch der zweite Teil der Tat, der aber ohne den ersten nicht vollstellbar gewesen wäre.“

Der Erstattungsanspruch des Bankkunden

Dieser und vergleichbare Phishing-Fälle zeichnen sich dadurch aus, dass die Täter in aller Regel nicht zu fassen sind. Durch geschickte Ketten-Transaktionen oder wie im vorliegenden Fall direkte Käufe in Geschäften, gibt es nur geringe Anhaltspunkte, die zu den tatsächlichen Tätern führen. Im vorliegenden Fall hatte der Bankkunde keine einzige Zahlung selbst autorisiert, denn das hier genutzte Zahlungssystem Apple Pay funktioniert wie eine gewöhnliche Zahlungskarte (girokarte), indem die Autorisierung des Zahlungsvorgangs direkt an der Kasse durch den Kartennutzer selbst erfolgt. Da der Mandant aber gar nicht an den Tatorten war bzw. Apple Pay selbst nicht mal eingerichtet hatte, scheidet die Möglichkeit einer Autorisierung durch den Mandanten selbst direkt aus, wie auch das Gericht erkannte.

In diesen Fällen sieht das Gesetz einen Anspruch des Bankkunden auf Erstattung der nicht autorisierten Zahlungen direkt gegen den Zahlungsdienstleister vor. Und selbst in Fällen, in denen eine – durch den Betrug fälschlicherweise getätigte – Autorisierung durch den Bankkunden erfolgt, ist ein Anspruch gegen die Bank unter Umständen möglich.

Die Sache mit der groben Fahrlässigkeit

Jedoch besteht der Rückerstattungsanspruch gegen die Bank nicht, wenn sich der Bankkunde selbst grob fahrlässig verhalten hat - er also einen schweren und in der konkreten Situation schlechthin unentschuldbaren Verstoß gegen Sorgfaltspflichten begeht. In diesem Fall hat auch die Bank einen Anspruch gegen den Bankkunden in Höhe der Schadenssumme, sodass der Kunde im Endeffekt auf dem Schaden sitzen bleibt. Aufgabe des Landgerichtes war es nun, festzustellen, ob dem Mandanten ein solcher grober Verstoß vorgeworfen werden könnte. Hierzu führt das Gericht aber aus: „[…] der angezeigte Text zur Erläuterung der freizugebenden Funktion lässt – auch bei der durch die Beklagte mit einem Sicherheitshinweis angemahnten sorgfältigen Prüfung – keinen Hinweis darauf erkennen, dass es um die Einrichtung eines Zahlungssystems auf einem mobilen Endgerät der Herstellers Apple Inc. und damit die Freigabe einer Möglichkeit zu Kontoverfügungen geht“. Weiter stellte das Gericht klar, dass es Aufgabe der Bank sei, einen eindeutigen Text zu verfassen, der bereits in der TAN-App klar macht, dass nun das Zahlungssystem ApplePay auf einem konkreten Gerät freigeschaltet wird.

Andere Fälle laufen über Google Pay oder über giropay

Inzwischen tauchen neuere Fälle auf, die nicht zwingend über die täterseitige Freischaltung des Bezahldienstes Apple Pay verlaufen. Stattdessen findet die Freischaltung von Google Pay oder giropay statt. Letzteres ist ein Online-Bezahlverfahren von Teilen der deutschen Kreditwirtschaft und basiert auf der Überweisung mittels Online-Banking kombiniert mit Anforderungen des E-Commerce. Zum 01.12,2020 wurde die betreibende giropay GmbH von der paydirekt GmbH übernommen und führt inzwischen die Online-Bezahlverfahren von giropay und paydirekt zusammen.

Kölner Entscheidung bietet Potential für Verbesserung des Online Bankings

"Insgesamt ist das Urteil des Landgerichtes Köln eine positive Nachricht für Bankkunden, die in ähnlichen Fällen empfindliche Schäden erlitten haben, sich selbst jedoch kein grobes Verschulden in der fraglichen Situation zuzuschreiben haben", meint Rechtsanwältin Katinka Bremm, die bei ilex Rechtsanwälte das Verfahren erstinstanzlich betreut hatte. Zwar ist der Instanzenweg noch nicht abgeschlossen und die Entscheidung des Oberlandesgerichtes Köln steht noch aus. Dennoch besteht die Hoffnung, dass die Sparkassen und andere Banken ihre Systeme nun deutlich sicherer gestalten, um Tätern Betrugsmaschen wie diese bereits im Grundsatz zu vereiteln.