Wird ein Sparkassen-Kunde durch Anrufe mit manipulierter Rufnummer (sog. Call-ID Spoofing) zu fehlerhaften Handlungen im Online-Banking veranlasst, handelt er nicht grob fahrlässig. Das Finanzinstitut muss ihm die entsprechenden Fehlbeträge erstatten (LG Köln, Urt. v. 08.01.2024 - Az.: 22 O 43/22).
Der Kläger war Kunde bei der verklagten Sparkasse und hatte sich dort auch für das Online-Banking freigeschaltet.
Ein Unbekannter kontaktierte den Kläger telefonisch unter Anzeige der Rufnummer der verklagten Sparkasse und gab vor, ein Mitarbeiter zu sein. Der Straftäter nutzte dafür technisch das Call-ID Spoofing, d.h. es werden beim Angerufenen fingierte Rufnummern angezeigt.
Der Anrufer erfragte beim Kläger, ob dieser in der vergangenen Woche von betrügerischen Anrufen oder verdächtigen Kontobewegungen betroffen gewesen sei. Als der Kläger verneinte, teilte ihm der Anrufer daraufhin mit, dass er aufgrund aktueller Betrugsvorfälle vorsorglich das Konto und die Karte des Klägers gesperrt habe, dieses aber nun nach dessen Auskunft wieder entsperren könne. Er bat den Kläger sodann um entsprechende Freigabe mittels Online-Banking.
In der App des Klägers erschien ein Auftrag mit dem Text
"Registrierung Karte".
Der Kläger gab den Auftrag frei.
Durch diese Handlung wurde - ungewollt - digitale Debitkarte im Konto des Klägers hinterlegt, mit dem der Täter kurze Zeit später rund 14.000,- EUR mittels ApplePay abhob
Die Sparkasse lehnte die Erstattung der Fehlbeträge ab, da der Kunde grob fahrlässig gehandelt habe.
Dieser Ansicht schloss sich das LG Köln nicht an, sondern verurteilte das Bankhaus zur vollständigen Gutschrift.
1. Keine grobe Fahrlässigkeit aufgrund Call-ID Spoofing:
Die Richter führen aus, dass der Kunde nicht grob fahrlässig gehandelt habe.
Denn durch die fingierte Rufnummer habe der Kunde in gutem Glauben gehandelt:
"Schon nach dem Vortrag der Beklagten fehlt es hier allerdings beim Kläger an einer grob fahrlässigen Verletzung (…). (…)
Diese Einschätzung stützt das Gericht zum einen darauf, dass sich die Täter des sog. Call-ID Spoofings bedienten. Dem Kläger wurde infolgedessen die Nummer der Beklagten angezeigt, als die Täter ihn anriefen.
Für einen verständigen, langjährigen Bankkunden ist die Nutzung einer ihm bekannten Nummer mit besonderem Vertrauen verbunden. Davon, dass die Möglichkeit besteht, eine fremde Nummer zu nutzen, dürfte der Durchschnittsbürger keine Kenntnis haben. Dass dem Kläger der angebliche Mitarbeiter der Beklagten nicht bekannt war, ist für sich genommen noch kein besonders verdächtiger Umstand.
In einer großen Organisation wie der der Beklagten herrscht regelmäßig eine gewisse Fluktuation bzw. es findet eine Arbeitsteilung statt, sodass die Bankkunden nicht mehr zwingend nur mit einem Mitarbeiter in Kontakt stehen."
2. Auch keine grobe Fahrlässigkeit bei ungenauer Bezeichnung im Online-Banking:
Eine grobe Fahrlässigkeit ergebe sich auch nicht aus der Tatsache, dass der App-Auftrag “Registrierung Karte” gelautet habe:
"Etwas anderes gilt auch nicht aufgrund der Bezeichnung des Auftrags in der pushTAN App als „Registrierung Karte“.
Zwar gab der Anrufer vor, er wolle die Karte des Klägers entsperren, nicht registrieren.
Allerdings ist die Bezeichnung „Registrierung“ derart weit, dass für den Kläger – vor allem in der Überrumpelungssituation, in der er sich befand und auch bei der durch die Beklagte mit einem Sicherheitshinweis angemahnten sorgfältigen Prüfung – überhaupt nicht erkennbar war, dass es um die Einrichtung eines Zahlungssystems auf einem mobilen Endgerät der Herstellers Apple Inc. und damit die Freigabe einer Möglichkeit zu Kontoverfügungen geht, die nur von der Verfügungsgewalt über dieses mobile Endgerät abhängt.
Dabei wäre es der Beklagten ohne weiteres möglich gewesen, durch einen eindeutigen Text, insbesondere durch Verwendung eines Hinweises gerade auf ApplePay dem Kunden deutlich vor Augen zu führen, welcher Zahlungsdienst hier freigegeben werden soll, um so ersichtlich zu machen, dass es um Endgeräte eines bestimmten Herstellers und die Nutzung als Wallet, nicht einer Karte geht (…).
Bei der hier vorliegenden Gestaltung konnte der Kläger den Text in der pushTAN App dem eigentlichen Vorgang nicht zuordnen. Im Übrigen ergibt sich aus der Formulierung des Warntextes, es sei „kein Auftrag“ freizugeben, der nicht „explizit beauftragt“ wurde, nach seinem natürlichen Wortsinn nicht, dass der Auftrag zwingend über die Online-Banking App erfolgt sein muss. Der Kläger durfte davon ausgehen, dass sein – vermeintlich − telefonisch erteilter „Auftrag“ diese Voraussetzungen ebenso erfülle."