Onlinebanking-Betrug: Grobe Fahrlässigkeit bei Weitergabe pushTAN-Aktivierungscode

Die Klage wird abgewiesen.

Der Kläger trägt die Kosten des Rechtsstreits.

Das Urteil ist vorläufig vollstreckbar. Der Kläger kann die Vollstreckung durch Sicherheitsleistung in Höhe von 110 % des aufgrund des Urteils zu vollstreckenden Betrages abwenden, es sei denn, die Beklagte leistet vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrages.

Der Kläger unterhält bei der Beklagten das Girokonto mit der Nummer 00000 und nutzt hierfür das Onlinebanking-System der Beklagten. Der Kläger nutzt für das Online-Banking das pushTAN-Verfahren. Hierbei erhält der Kunde die für einen Auftrag benötigte TAN über eine spezielle App auf seinem Smartphone oder Tablett. So kann der Kunde von einem einzigen Gerät aus sicher auf sein Online-Banking zugreifen und die TAN anfordern.

Um pushTAN zu nutzen, meldet sich der Kunde bei der Beklagten für pushTAN an und erhält mit der Post die Zugangsdaten für die S-pushTAN-App. Die App selber lädt er im App Store von Apple oder im Google Play Store auf sein Smartphone oder Tablet herunter. Aufträge mittels pushTAN werden wie folgt erteilt:

Der Kunde bereitet wie gewohnt in seinem Online-Banking zum Beispiel eine Überweisung oder einen sonstigen Auftrag vor und sendet ihn ab. Er wechselt dann zur S-pushTAN-App, gibt dort sein Passwort ein oder entsperrt die App über Face-ID beziehungsweise Touch-ID und prüft die angezeigten Auftragsdaten. Entsprechen die dargestellten Auftragsdaten seinem Auftrag, klickt er auf „Auftrag freigeben“, andernfalls auf „Ablehnen“.

Falls der Kunde das Smartphone wechselt, ist die S-pushTAN-App auf dem neuen Smartphone zu installieren und mit diesem Smartphone zu verknüpfen. Das gleich gilt für den Fall, dass das Passwort fünfmal falsch eingegeben wurde. Dieser Vorgang gestaltet sich wie folgt:

Zur erneuten Freischaltung der pushTAN-App muss der Kunde zunächst seine Onlinebanking-Daten eingegeben und zwei Sicherheitsfragen beantworten (sein Geburtsdatum und die Kartennummer der Sparkassenkarte). Er fordert dann eine SMS auf die im Onlinebanking von ihm hinterlegte Mobilfunknummer an, die einen Link mit dem Aktivierungscode enthält. Durch Anklicken des Links mit dem Aktivierungscode wird die pushTAN-App zur Verwendung freigeschaltet.

Der Kläger ist seit mehr als 15 Jahren Onlinebanking-Kunde. Vor dem in Rede stehenden Vorfall nutzte er schon das Push-TAN-Verfahren. Am 08.09.2021 rief ein bisher unbekannter Täter den Kläger unter der Kennung 00000 um 09.39 Uhr an und gab sich als Mitarbeiter der Beklagten aus. Er forderte den Kläger auf, das Push-TAN-Verfahren umzustellen, da er andernfalls kein Online-Banking ausführen könne. Der Anrufer teilte mit, dem Kläger helfen zu wollen, das Push-Tan-Verfahren zu erneuern. Der Anrufer kündigte die Übersendung von zwei SMS an. Die erste SMS enthalte einen Link, der auf der Internetseite eingegeben werden solle, deren Daten er mittels der zweiten SMS erhalte.

Bereits um 09.15 Uhr und somit zeitlich vor diesem Telefonat erhielt der Kläger auf sein Smartphone die angekündigten SMS. Die erste lautete:

„Bitte klicken Sie hier, um die pushTAN-App einzurichten: httpsE. Bitte leiten Sie diese SMS nicht an dritte Personen weiter! Kein Mitarbeiter wird Sie um Weitergabe dieser Daten bitten.“

Diese SMS stammt von der Beklagten.

Die zweite SMS enthielt lediglich den Link:

www.D..

Der Kläger unternahm zunächst nichts. Um 17.05 Uhr ist er von der Nummer  00000 noch zweimal angerufen worden. Da er nicht zuhause war, ging die Ehefrau des Klägers ans Telefon und kündigte den Rückruf des Klägers an. Dies wollte der Anrufer aber nicht und kündigte einen weiteren Anruf an.

Dieser Anruf erfolgte dann um 18.07 Uhr und wurde von dem Kläger angenommen. Der Anrufer teilte nun mit, er werde dem Kläger bei der Umstellung des pushTAN-Verfahrens helfen. Erneut wurde dem Kläger um 18.17 Uhr eine SMS mit einem Aktivierungscode übersandt. Diese SMS stammt von der Beklagten.

Der Kläger sollte nun den Link aus der SMS kopieren und auf der (vom Betrüger eingerichteten) Internetseite www.D. eingeben, was der Kläger tat. Die SMS, in der die v.g. Internetseite hinterlegt war, stammte nicht von der Beklagten. Diese SMS war im Gegensatz zu der v.g. SMS im Adressbuch des Klägers auf seinem Smartphone nicht mit „L.“ als Absender bezeichnet. Vielmehr wurde die Telefonnummer „N01“ als Absender angezeigt.

So gelangte der Täter zu dem in dem Link enthaltenen Aktivierungscode. Dadurch war die pushTAN-App auf dem Smartphone des Täters nun zur Verwendung freigeschaltet und konnte Zahlungsvorgänge auslösen.

Ohne dass der Kläger diesbezüglich eine Zahlungsanweisung erteilt hat, hat die Beklagte Abbuchungen vom Konto des Klägers zwischen dem 08.09.2021 und 10.09.2021 vorgenommen, die in Summe 6.272,70 € ausmachen.

Die Beklagte hatte auf ihrer Online-Banking-Seite seit dem 08.06.2021 unter den aktuellen Sicherheitswarnungen vor der hier streitigen Vorgehensweise gewarnt. Wegen des genauen Textes wird auf Seite 12 der Klageerwiderung (Bl 46 f. d.A.) verwiesen.

Der Kläger behauptet, er habe den Satz, dass man die SMS nicht an Dritte weiterleiten soll und dass ihn keine Mitarbeiter um die Weitergabe dieser Daten bitten, nicht so richtig auf dem Mobiltelefon erkennen können. Er habe seine Brille nicht aufgehabt. Das sei alles so klein darauf gewesen. Er bestreite, dass die Täter – sollte gegenteiliges der Fall sein- PIN und TAN über das Gerät des Klägers ausspioniert haben. Genauso gut denkbar sei, dass die Täter das System der Beklagten überwunden und auf diesem Weg die Daten erspäht haben. Die Betrüger hätten vorliegend lediglich eine einzige Information von ihm ausspioniert, nämlich den per SMS versandten Aktivierungscode. Allein mit dieser Kundenangabe sei es den Tätern möglich, die Zahlungen auszulösen. Von einer starken Kundenauthentifizierung und angemessenen Sicherheitsvorkehrungen könne – jedenfalls bezogen auf die Übersendung des Aktivierungscodes - daher keine Rede sein. Er meint, dass ein System, dass so leicht auszutricksen sei, nicht als sicher im Sinne von § 55 I 2 ZAG gelte. Zu berücksichtigen sei schließlich, dass beim Online Banking für eine Authentifizierung eines Zahlungsvorganges nicht nur die TAN erforderlich sei, sondern zumindest der alias/Accountname und die PIN. Diese Angaben hätten die Täter offensichtlich vorliegend für die Zahlungen nicht haben müssen oder diese seien leicht – ohne Zutun des Klägers – in Erfahrung zu bringen gewesen, da andernfalls die Zahlungen nicht hätten ausgelöst werden können. Auch vor diesem Hintergrund könne von einer starken Kundenauthentifizierung nicht ausgegangen werden.

Der Kläger beantragt,

die Beklagte zu verurteilen, an ihn 6.272,70 € nebst Zinsen in Höhe von 5 %-Punkten über dem jeweiligen Basiszinssatz seit dem 20.10.2021 zu zahlen sowie ihm vorgerichtliche Rechtsanwaltskosten in Höhe von 713,76 € zu erstatten.

Die Beklagte beantragt,

              die Klage abzuweisen.

Die Beklagte behauptet, dass es so gewesen sei, dass der Betrüger wohl initiiert habe, dass der Kläger die SMS-Nachricht mit dem Link bekomme. Dass sei immer dann der Fall, wenn die Push-Tan-App neu aktiviert werden solle. Um dies anzustoßen, müsse man über die Online-Zugangsdaten verfügen, wie Onlinebanking-PIN, Benutzernummer, Geburtsdatum und Kartennummer auf der Debitkarte. Offensichtlich befinde sich auf dem Rechner des Klägers eine Schadsoftware, die das Auslesen des Benutzernamens und der PIN für das Online-Banking ermögliche.

Dem vom Kläger geltend gemachten Anspruch nach § 675 u S. 2 BGB stehe ein Schadensersatzanspruch gem. § 675 v Abs. 3 BGB in gleicher Höhe entgegen, mit dem sie die Aufrechnung erklärt hat.

Wegen der weiteren Einzelheiten zum Sach- und Streitstand wird auf die Schriftsätze sowie die Sitzungsprotokolle Bezug genommen.

Die Klage ist unbegründet.

Zwar hatte der Kläger einen Anspruch gemäß § 675 u S. 2 BGB auf Wiedergutschrift des Betrages iHv  6.272,70 €.

Dieser Anspruch ist aber durch die beklagtenseits erklärte Aufrechnung mit einem Schadensersatzanspruch in gleicher Höhe gemäß § 389 BGB erloschen.

Der Beklagten steht ein Schadensersatzanspruch iHv  6.272,70 € gegen den Kläger aus § 675 v Abs. 3 BGB zu.

Der Kläger hat gegen die vertraglichen Sorgfalts- und Mitwirkungspflichten des Nutzers bei der Verwendung des Push TAN-Verfahrens grob fahrlässig verstoßen.

Der Kläger hat den Aktivierungscode, der von der Beklagten in einer SMS übersandt wurde, an Dritte weitergeleitet. Dies machte er, indem er den Link aus der SMS der Beklagten kopierte und auf der (vom Betrüger eingerichteten) Internetseite www.D. eingab. Damit hat der Kläger es ermöglicht, dass der Täter mit dem Aktivierungscode das Push TAN Verfahren auf seinem Endgerät registrieren lassen konnte.

Dieses Verhalten des Klägers ist als grob fahrlässig anzusehen. Schon in der SMS der Beklagten stand der Zusatz, „Bitte leiten Sie diese SMS nicht an dritte Personen weiter! Kein Mitarbeiter wird Sie um Weitergabe dieser Daten bitten.“ Bei dem Kläger hat sich jemand als Mitarbeiter der Beklagten gemeldet. Wenn dieser den Kläger auffordert, den link zu kopieren und diesen dann auf der Internetseite, deren link der Kläger ebenfalls per SMS erhalten hat, einzugeben, dann galt das Weitergabeverbot erkennbar auch für diesen Fall. Der Hinweis war so zu verstehen, dass ein Mitarbeiter der Beklagten ein solches Verlangen nicht an ihn richten würde. Soweit der Kläger behauptet, er habe den Zusatz nicht lesen können, weil dieser so klein geschrieben gewesen sei und er keine Brille getragen habe, entlastet ihn dies nicht. Es spricht sogar eher für eine grobe Fahrlässigkeit, eine SMS der Bank zum Onlinebanking bewusst inhaltlich nicht vollständig zur Kenntnis zu nehmen. Ob der Kläger erkennen konnte, dass es sich hier um den Aktivierungscode handelt, den er weitergab, ist nicht entscheidend. Er musste jegliches Handeln im Zusammenhang mit dem Onlinebanking als sicherheitsrelevanten Vorgang ansehen. Hinzu kommt, dass die SMS, mit der der link zur betrügerischen Homepage gesandt wurde, nicht als solche der L. angezeigt wurde. Vielmehr wurde eine Telefonnummer angezeigt. Diese mag einer solchen entsprechen oder ähneln, die die Beklagte im Geschäftsverkehr nutzt. Allerdings hätte der Kläger auch hier Anlass gehabt, stutzig werden zu müssen. Es ergibt sich erst einmal kein plausibler Grund dafür, warum die SMS nicht als solche der L. als Absender angezeigt wurde. Hinzu kommt, dass die Beklagte seit Juni 2021 auf ihrer Homepage auf genau diese Betrugsmasche hingewiesen hat. Diese Hinweise hätte der Kläger zur Kenntnis nehmen und stutzig werden müssen. Ferner ist zu berücksichtigen, dass es schon einen äußerst merkwürdigen Ablauf darstellt, dass ein Mitarbeiter einer Bank sich unaufgefordert bei  einem Onlinebanking Kunden meldet und diesem, ohne dass er um Hilfe nachgesucht hat, seine Unterstützung bei der Erneuerung des Push Tan Verfahrens anbietet. Das Onlinebanking und die entsprechenden vorbereitenden Schritte sind gerade davon geprägt, den persönlichen Kontakt zu Mitarbeitern einer Bank auf ein Mindestmaß zu reduzieren. Es ist gerichtsbekannt, dass, sofern vorbereitende Arbeiten durchzuführen sind, man hierzu schriftliche Anweisungen erhält oder diese auf der Homepage der jeweiligen Bank einsehen kann. Sofern im Ausnahmefall eine Unterstützung vonnöten ist, muss der Kunde sich bei der Hotline der Bank melden. Vor diesem Hintergrund ist ein Anruf eines Bankmitarbeiters, den der Kunde nicht selbst initiiert hat, vollkommen ungewöhnlich. Hinzu kommt die Hartnäckigkeit, mit der der Mitarbeiter dem Kläger seine Hilfe „aufdrängen“ wollte.

Das grob fahrlässige Verhalten des Klägers ist auch kausal für den Schaden geworden. Damit hat der Kläger es ermöglicht, dass der Täter mit dem Aktivierungscode das Push TAN Verfahren auf seinem Endgerät registrieren lassen und später dann überhaupt Zahlungsvorgänge auslösen konnte.

Der Schadensersatzanspruch ist auch nicht gemäß § 675 v Abs. 4 BGB ausgeschlossen. Danach wird das gemäß Abs. 3 dem Zahlungsdienstnutzer auferlegte Schadensrisiko zurück auf den Zahlungsdienstleister verlagert, wenn a) der Zahlungsdienstleister selbst eine starke Kundenauthentifizierung nicht begehrt hat oder b) der Zahlungsempfänger bei einer geforderten starken Kundenauthentifizierung nicht mitgewirkt hat; entsprechendes gilt, wenn sein Zahlungsdienstleister diese Mitwirkung unterlässt. Das Gesetz verwendet in diesem Zusammenhang die Formulierung einer nicht „akzeptierten starken Kundenauthentifizierung“. Gemeint ist aber nicht die Verweigerung des Zahlungsvorgangs aufgrund fehlender Authentifizierung, sondern das fehlende Einfordern einer solchen (BeckOK BGB/Schmalenbach, 61. Ed. 1.2.2022, BGB § 675v Rn. 15; idS auch MüKoHGB/Linardatos BankvertrR G Rn. 148). Eine starke Kundenauthentifizierung ist gemäß § 1 Abs. 24 ZAG ein Verfahren, das die Vertraulichkeit schützt und mindestens zwei voneinander unabhängige Elemente der Kategorien „Wissen“ (zB eine PIN oder ein Kennwort), „Besitz“ (zB eine Zahlungskarte oder ein Mobiltelefon) und „Inhärenz“ (zB ein eindeutiges biometrisches Merkmal wie die Iris, ein Fingerabdruck oder Elemente der Physiognomie) umfasst (BeckOK BGB/Schmalenbach, 61. Ed. 1.2.2022, BGB § 675v Rn. 15).

Dass der Vorgang hier ohne starke Authentifizierung ausgelöst wurde, hat der Kläger nicht hinreichend vorgetragen. Unstreitig braucht man neben der auf dem Endgerät registrierten Push TAN App und eines diesbezüglichen nur dem Nutzer bekannten Passwortes oder Face ID auch noch weitere Merkmale, um überhaupt in das Onlinebanking der Beklagten zu gelangen. Hierzu benötigt man zusätzlich den Benutzernamen und die PIN für das Online-Banking. Dies stellt der Kläger auch nicht grundsätzlich in Abrede. Ferner trägt er auch keinen konkreten Sachverhalt vor, nach dem der Täter ohne Kenntnis dieser Elemente den Zahlungsvorgang hat auslösen können. Streitig ist nur, wie die Täter an den Benutzernamen und die PIN gelangt sind. Das ist aber für die in Rede stehende Frage irrelevant, weil es hier nur darum geht, ob eine starke Authentifizierung vonnöten war.

Der Zinsanspruch sowie der Anspruch auf Erstattung vorgerichtlicher Anwaltskosten teilen das rechtliche Schicksal der Hauptforderung.

Die prozessualen Nebenentscheidungen ergeben sich aus §§ 91, 708 Nr. 11, 711 ZPO.

Streitwert: 6.272,70 €.