Gibt ein Kunde telefonisch die TAN für sein Konto an vermeintliche Bank-Mitarbeiter weiter, handelt er auch dann grob fahrlässig, wenn die Betrüger ihre Rufnummer (sog. Call-ID Spoofing) gefälscht haben (OLG Bremen, Beschl. v. 15.04.2024 - Az.: 1 U 47/23).
Die Klägerin verlangte von ihrer Bank die Erstattung von rund 47.000 EUR, die durch unautorisierte Überweisungen von ihrem Girokonto an Dritte abgebucht wurden.
Die Klägerin wurde von einem vermeintlichen Mitarbeiter ihrer Bank angerufen. Im Display ihres Telefons erschien auch die entsprechende Rufnummer der Finanzeinrichtung. Die Betrüger hatten diese Rufnummer durch Call-ID Spoofing jedoch gefälscht. Im Laufe des Gesprächs teilte die Klägerin schließlich TANs mit, mit denen die Betrüger die unautorisierten Überweisungen vornehmen konnten.
Als die Klägerin von den Zahlungen erfuhr, verlangte sie von ihrer Bank eine Erstattung. Diese lehnte das Begehren ab, da die Kundin durch die Weitergabe der TANs grob fahrlässig gehandelt habe.
Diese Bewertung teilte auch das OLG Bremen und stufte die Klage als unbegründet ein.
1. Verstoß gegen Sorgfaltspflichten:
"Unstreitig hat die Klägerin dem sich als Bankmitarbeiter ausgebenden Anrufer die ihr per SMS übermittelten TANs mitgeteilt und damit gegen ihre Pflicht aus § 675l Abs. 1 S. 1 BGB zum Schutz der personalisierten Sicherheitsmerkmale verstoßen, zu denen auch die TAN zählt (…).
Die Mitteilung von TANs durch die Klägerin an einen Dritten – auch wenn sich letzterer als Bankmitarbeiter ausgegeben hat – stellt sich daher als Verletzung dieser Verpflichtung dar sowie der sich aus Ziff. 7.1 (2)(a) der Sonderbedingungen für das Online-Banking der Beklagten ergebenden Verpflichtung, Wissenselemente von Authentifizierungselementen nicht mündlich und nicht außerhalb des Online-Banking in Textform weiterzugeben (…)."
2. Grobe Fahrlässigkeit:
Die Klägerin habe auch grob fahrlässig gehandelt:
"Diese Pflichtverletzung erfolgte auch grob fahrlässig. Grobe Fahrlässigkeit erfordert einen in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unent- schuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt (…).
In objektiver Hinsicht begründet die telefonische Weitergabe von TANs an einen Dritten einen solchen schweren Sorgfaltspflichtverstoß (…). Es ist bereits als allgemein und jedermann einleuchtend anzusehen, dass dem Bankkunden persönlich zugesandte Sicherheitsmerkmale von diesem nicht abweichend von der vereinbarungsgemäß vorgesehenen Verwendung gegenüber Dritten offenbart werden dürfen, wenn nicht die Sicherheit seines durch diese Merkmale geschützten Kontozugangs gefährdet werden soll.
Zudem ist generell aufgrund der in den letzten Jahren vielfach durch verschiedene Medien bekannt gewordenen Fälle die Kenntnis als allgemeines Wissen vorauszusetzen, dass Kunden durch betrügerische Briefe und Anrufe vorgeblicher Bankmitarbeiter zur Preisgabe von Zugangsdaten zum Online-Banking veranlasst werden sollen, denn spätestens seit 2006 wurde das kriminelle Phänomen des Phishings und anderer Methoden, unter Vorspiegelung falscher Tatsachen den Angerufenen zu finanziellen Transaktionen veranlassen, öffentlich breit diskutiert (…).
Insbesondere ist der Vorwurf grober Fahrlässigkeit in objektiver Hinsicht zudem dann begründet, wenn der Bankkunde ohne Prüfung eines entgegenstehenden Textes der SMS, mit der ihm die TAN zugesandt wird, diese an den Dritten weiterleitet, obwohl aus diesem Text zu erkennen gewesen wäre, dass die TAN zur Autorisierung eines nicht vom Kunden gewollten Zahlungsvorgangs bestimmt war (…)."
3. Auch Call-ID Spoofing ändert nichts an dem Vorwurf der groben Fahrlässigkeit:
Eine abweichende Beurteilung ergebe sich auch nicht aus der Tatsache, dass die Klägerin mit einer vorgetäuschten Telefonnummer angerufen worden sei:
"Dass – wie die Klägerin geltend macht – bei dem Anruf eine Rufnummer der Beklagten angezeigt worden sei und ihr nicht bekannt gewesen sei, dass eine Rufnummernanzeige manipuliert werden könne, steht der Annahme einer groben Fahrlässigkeit bereits deswegen nicht entgegen, weil nach den vereinbarten Sonderbedingungen für das Online-Banking jede mündliche Mitteilung einer TAN pflichtwidrig ist und TANs vom Bankkunden lediglich im Online-Banking-System selbst weiterzugeben sind.
Dem Vorwurf grober Fahrlässigkeit ist daher nicht damit zu begegnen, dass die Klägerin glaubte, mit einem Bankmitarbeiter zu sprechen. Hinzu kommt im vorliegenden Fall, dass – wie bereits das Landgericht zutreffend ausgeführt hat – die Klägerin auch hätte hinterfragen müssen, warum ein angeblicher Mitarbeiter von der Sicherheitsabteilung der Beklagten (…) der Durchwahl des normalerweise für die Klägerin zuständigen Sachbearbeiters bei ihr anrufen sollte. "
Hinweis von RA Dr. Bahr:
Anfang des Jahres hatte das LG Köln (Urt. v. 08.01.2024 - Az.: 22 O 43/22) n einen ähnlichen Fall exakt gegenteilig entschieden und einen Ersatzanspruch des Kunden bejaht, vgl. unsere Kanzlei-News v. 02.02.2024.