Phishing: Weiterleitung pushTAN-SMS-Link als grobe Fahrlässigkeit (§ 675v BGB)

Die Klage wird abgewiesen.

Die Kosten des Rechtsstreits tragen die Kläger.

Das Urteil ist vorläufig vollstreckbar. Die Kläger dürfen die Vollstreckung durch Sicherheitsleistung in Höhe von 110 % des aus dem Urteil zu vollstreckenden Betrages abwenden, wenn nicht die Beklagte zuvor Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrag leistet.

Die Kläger sind Kunden bei der Beklagten und unterhalten dort u.a. ein Girokonto mit der Kontonummer …. Die Kläger nutzen das Online-Banking und haben auf ihren Smartphones die Push-Tan-App der Beklagten installiert.

Der Kläger zu 2) erhielt am 12.10.2022 um 12:45 Uhr einen Anruf von einem vermeintlichen Mitarbeiter der Beklagten. Dieser teilte mit, es würde sich jemand im Bereich Frankfurt „an seinem Konto zu schaffen machen“. Vorsorglich würde die Sparkasse das Konto daher sperren. Er würde insoweit einen Link erhalten, den er bitte aktivieren möge.

Der Kläger zu 2) erhielt sodann um 15:05 Uhr eine WhatsApp-Nachricht, die vermeintlich von der Beklagten stammen sollte mit folgendem Inhalt:

„[…] fügen Sie den per SMS an Ihn zugestellten Link hier im Chat ein. T, …“ (Anlage K1, Bl. 11 d.A.)

Der Kläger zu 2) erhielt kurz darauf eine Nachricht, die tatsächlich von der Beklagten stammte:

„Bitte klicken Sie hier, um die pushTAN-App einzurichten: https://www.T de/ pushtan/spushtan/mehrstellige Ziffer Bitte leiten Sie diese SMS nicht an dritte Personen weiter! Kein Mitarbeiter wird Sie um Weitergabe dieser Daten bitten.“ (Anlage K1, Bl. 11 d.A.).

Später erhielt er eine weitere WhatsApp Nachricht, die vermeintlich von der Beklagten stammen sollte, mit dem Inhalt:

„Sehr geehrter Herr T, Der Registrierungsbrief wird ihnen innerhalb der nächsten 2- 5 Werktage per Post zugestellt. In dieser Zeit können Sie im Online-Banking keine TANpflichtigen Aufträge (z.B. Überweisungen) ausführen. Abfragen des Kontostands hingegen sind weiterhin möglich. Ihre bisherigen Anmeldedaten (Anmeldename und PIN) bleiben nicht bestehen.“ (Anlage K1, Bl. 10 d.A.)

Ob und welche Handlungen der vermeintliche Mitarbeiter der Beklagten noch von den Klägern verlangte und ob und wie diese darauf reagiert haben, ist zwischen den Parteien streitig.

Im Nachhinein stellte sich heraus, dass vom Tagesgeldkonto des Klägers zunächst Gelder auf das gemeinsame Girokonto der Eheleute T transferiert wurden. Die Kläger mussten feststellen, dass bei der T C am 12.10.2022, 13.10.2022, 14.10.2022, 15.10.2022, 16.10.2022 und 17.10.2022 jeweils Bargeldbeträge in Höhe von jeweils 1.000,00 € von ihrem Konto mittels digitaler Karte abgehoben wurden.

Die Kläger sind der Ansicht, dass sie sich weder vorsätzlich, noch grob fahrlässig verhalten haben. Die Kläger behaupten, dass sie zu keinem Zeitpunkt ihre PIN-Nummer oder andere persönliche Daten herausgegeben hätten, die Dritten den Zugriff auf das Bankkonto ermöglicht hätten. Der Kläger zu 2) habe einen Anruf unter der Rufnummer der Beklagten erhalten. Nachdem der Kläger auf den Link in der WhatsApp-Nachricht geklickt habe, habe er dann die entsprechende Nachricht erhalten. Zu erklären sei der Abhebevorgang daher nur dadurch, dass das Sicherheitssystem der Beklagten ein entsprechendes „Leck“ aufgewiesen habe. Der Kläger habe – anders als im Beschluss der Kammer vom 31.10.2023 – 3 O 247/23 gerade keine weitere Aufforderung erhalten, sich mit seinen Benutzerdaten anzumelden. Die Kläger sind der Ansicht, dass die Beklagte dafür beweisbelastet sei, dass ein Abgreifen der persönlichen sicherheitsrelevanten Daten ohne das Zutun des Klägers technisch tatsächlich ausgeschlossen gewesen sei. Es bestehe mehr als die begründete Vermutung, dass die Kläger Opfer einer Datenmanipulation geworden seien und sich unbekannte Täter in Echtzeit als autorisierte Kontoinhaber gegenüber der Beklagten ausgegeben hätte und so das Online-Banking der Beklagten massiv manipuliert hätten. Zwar habe der BGH (Urteil vom 26.01.2016 – XI ZR 91/14) entschieden, dass eine Anwendung der Grundsätze des Anscheinsbeweises beim Online-Banking nicht von vornherein ausgeschlossen sei. Es dürften nach der BGH-Entscheidung die Grundsätze des Anscheinsbeweises im Zahlungsdienstrecht beim Einsatz technischer Authentifizierungsinstrumente allerdings nicht so gehandhabt werden, dass sie bei Vorliegen der in § 675 w Satz 3 BGB genannten technischen Merkmale aus praktischer Sicht einer Beweislastumkehr gleichkämen. Daher sei aus Sicht des BGH für die Anwendung der Grundsätze des Anscheinsbeweises allein die korrekte Aufzeichnung der Nutzung und des Zahlungsauthentifizierungsinstrumentes nicht ausreichend. Der Anscheinsbeweis gelte danach bereits als erschüttert, wenn Tatsachen dargelegt werden, die ernsthafte, ebenfalls in Betracht kommende Möglichkeiten einer anderen Ursache nahelegten. Demgemäß müsse der Kunde keinen konkreten und erfolgreichen Angriff gegen das Authentifizierungsinstrument beweisen, sondern müsse nur solche Umstände vortragen, die gegen die Autorisierung durch ihn und damit für ein missbräuchliches Eingreifen eines Dritten sprächen. Soweit die Beklagte vorsorglich und hilfsweise die Aufrechnung mit Schadenersatzanspruch gegenüber den Klägern erklärt, greife diese erklärte Aufrechnung nicht durch, da weder ein alleiniges Verschulden noch ein Mitverschulden den Klägern anzulasten sei. Daher greife auch die Dolo-agit-Einrede nicht durch. Die Kläger bestreiten mit Nichtwissen, dass das IT-System der Beklagten anlässlich der streitgegenständlichen Zahlungsvorgänge ordnungsgemäß zum Einsatz kam und störungs- und fehlerfrei funktionierte, letztendlich unüberwindbar gewesen sein soll und nicht manipuliert wurde.

Die Kläger beantragen,

die Beklagte zu verurteilen, an die Kläger 6.000,00 € nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz hieraus seit dem 17.10.2022 zu zahlen.

Die Beklagte beantragt,

die Klage abzuweisen.

Sie ist der Ansicht, dass die Kläger sich grob fahrlässig verhalten hätten, als sie den Link aus der SMS-Nachricht per Whats-App weiterleiteten. Hierdurch hätten sie dem Täter ermöglicht, die Push-Tan-App auf dem Täterhandy zu installieren, eine digitale Karte zu generieren und hiermit die Transaktionen vorzunehmen, die zu den Abhebungen geführt haben. Die Verfügungen mit einer digitalen Karte seien nur mit zugehöriger PIN möglich. Die Beklagte behauptet, dass diese dem Anrufer von Klägerseite auch mitgeteilt worden sein muss, wofür bereits der Beweis des ersten Anscheins streite. Die Beklagte rechnet mit einem entsprechenden Schadensersatzanspruch gegen die Kläger auf. Auf den weiteren Vortrag der Beklagten sowie die als Anlage übersandten Protokolle wird Bezug genommen.

Die Kammer hat die Kläger persönlich angehört. Ferner hat es die Zeugen M und E vernommen. Auf das Protokoll der mündlichen Verhandlung vom 22.10.2025 wird Bezug genommen.

I. Die zulässige Klage ist nicht begründet.

Zwar mögen die Kläger gegen die Beklagte einen Zahlungsanspruch in der geltend gemachten Höhe aus § 675u S. 2 BGB haben. Danach ist der Zahlungsdienstleister im Fall eines nicht autorisierten Zahlungsvorgangs verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.

Dieser Anspruch ist jedoch gemäß § 389 BGB durch die durch die Beklagte erklärte Aufrechnung erloschen. Der Beklagten steht gegen die Kläger ein Schadensersatzanspruch in Höhe der Klageforderung aus § 675v Abs. 3 Nr. 2a BGB zu. Hiernach ist der Zahler dem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler den Schaden durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten aus § 675l Abs. 1 BGB herbeigeführt hat.

Das ist vorliegend der Fall. Nach § 675l Abs. 1 S. 1 BGB ist der Zahlungsdienstnutzer verpflichtet, unmittelbar nach Erhalt eines Zahlungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen.

Zunächst steht aufgrund des unstreitigen Parteivorbringens und dem Ergebnis der Beweisaufnahme fest, dass der Kläger zu 2) die SMS vom 12.10.2022, die tatsächlich von der Beklagten stammte, an die unbekannten Täter weiterleitete. Diese SMS war dem Kläger zu 2) durch die Beklagte übersandt worden, nachdem die Täter über den Zugang zum Online-Banking die PushTAN-App zurückgesetzt hatten. Nur durch Erhalt dieses Links war es den Tätern möglich, auf dem Täterhandy die PushTAN-App zu installieren, eine Digitalkarte freizuschalten und die streitgegenständlichen Abhebungen vorzunehmen.

Dass der Kläger zu 2) nicht lediglich auf einen Link der Beklagten klickte, sondern die SMS der Beklagten an den Täter per WhatsApp weiterleitete, ist bereits dem von Klägerseite eingereichten Screenshot in Anlage K1, Bl. 11 d.A., zu entnehmen. Denn in dem abgebildeten Chatverlauf, der unstreitig mit den Tätern geführt wurde, ist die SMS der Beklagten eingefügt, was auch durch den links abgebildeten nach rechts zeigenden Pfeil angezeigt wird. Der Kläger zu 2) hat demnach – abweichend von seinen Bekundungen – gerade nicht lediglich auf einen Link geklickt, sondern die SMS über WhatsApp an die Täter weitergeleitet. Denn durch ein schlichtes Anklicken eines Links erfolgt noch keine Weiterleitung, wie sie aus dem Screenshot ersichtlich erfolgt ist.

Nach dem Ergebnis der Beweisaufnahme steht zur Überzeugung der Kammer darüber hinaus fest, dass die Kläger entweder telefonisch oder über einen von dem Täterkreis stammenden zugesandten Link den Tätern Zugriff auf ihre Daten zum Online-Banking gewährt haben, die den Tätern den Zugang zum Online-Banking ermöglichten. Nur so lässt sich erklären, dass die Täter Zugang zum Online-Banking der Kläger hatten um von dort die streitgegenständliche SMS für die Einrichtung der PushTAN-App freizugeben. Die nach § 286 ZPO erforderliche Überzeugung des Richters verlangt dabei keine absolute oder unumstößliche Gewissheit und auch keine an Sicherheit grenzende Wahrscheinlichkeit, sondern nur einen für das praktische Leben brauchbaren Grad von Gewissheit, der Zweifeln Schweigen gebietet, ohne sie völlig auszuschließen (vgl. BGH NJW 2003, 1116, 1117; BGHZ 53, 245, 256 = NJW 1970, 946, 948; BGH NJW 1989, 2948, 2949; BGH NJW 2014, 71 Rdnr. 8).

Die Kammer folgt den glaubhaften Ausführungen des Zeugen E. Zwar konnte dieser naturgemäß keine konkreten Angaben zu dem streitgegenständlichen Verfahrensablauf machen, soweit es die Aktivitäten der Kläger und der Täter außerhalb des Systems der Beklagten betrifft. Insoweit bekundete der Zeuge nachvollziehbar, dass die Bank die Aktivitäten der Betrüger erst in den Protokollen nachhalten kann, wenn diese sich den Zugang zum Online-Banking bereits erschlichen hätten. Wie der Zeuge weiter bekundete, gebe es typischerweise zwei Möglichkeiten für die Täter, an die Zugangsdaten der Kunden zu gelangen. Die häufigste Variante erfolge mittels eines Schockanrufs, woraufhin die Kunden in der Regel eine Nachricht mit einem Link der Täter erhalten würden, womit sie auf eine täuschend echt aussehende und vermeintlich von der Beklagten stammende Online-Banking-Website gelenkt werden. Dort würden dann die Kundendaten zum Einloggen abgefragt, wodurch die Täter an die Zugangsdaten zum Online-Banking kämen. Die zweite und seltenere Variante sei die Benutzung eines Keyloggers, d.h. dass die Täter über einen Trojaner auf den Geräten der Kunden die Daten abgreifen würden. Für die Täter sei diese Variante nachteilig, da sie entsprechend warten müssten, bis der Kunde sich selbst im Online-Banking anmeldet. Die erste Variante habe für die Täter den Vorteil, dass sie die Schocksituation ausnutzen könnten um sowohl die Log-In Daten für das Online-Banking als auch in engem zeitlichen Zusammenhang die Übersendung der Freigabe der PushTAN-App zu erlangen. Denn die Zugangsdaten für das Online-Banking seien für die Täter zunächst wertlos, da sie mit diesen allein keine Transaktionen vornehmen könnten, da sie immer die Freigabe des Kunden bräuchten.

Dafür, dass der Kläger zu 2) entweder im Gespräch mit den Tätern oder über die Variante des Log-Ins auf eine gefälschte Internetseite seine persönlichen vertraulichen Daten den Tätern preisgegeben hat, spricht nach Auffassung der Kammer, dass die unbekannten Täter vorliegend eben nicht nur die Zugangsdaten zum Online-Banking, sondern auch die PIN der Kläger kannten. Insoweit führte der Zeuge E glaubhaft aus, dass es eigentlich nur zwei Möglichkeiten gebe, an die PIN der Kunden zu gelangen. Die eine Variante ist wiederum die persönliche Preisgabe. Die andere wäre das Ausspähen beim Eingeben der Ziffernfolge am Geldautomat. Letztere Variante sei für die – einem Unternehmen gleich arbeitsteilig organisierten – Täter in der Regel zu aufwendig. Der Zeuge E und die Zeugin M bekundeten zudem überzeugend, dass die PIN letztlich nicht bei der Beklagten gespeichert sei. Wie die Beklagte ausführte, werde die PIN in einem ganz anderen System, nämlich bei S-Payment gespeichert. Wie der Zeuge E ausführte, werde die PIN auch im Online-Banking der Beklagten niemals abgefragt.

Die Kammer ist aus diesen überzeugenden sachkundigen Ausführungen des Zeugen E und der Zeugin M davon überzeugt, dass weder ein von den Klägern pauschal behauptetes Datenleck noch die Keylogger-Variante vorliegend den Tätern Zugang zum Online-Banking eröffnet haben und die Barabhebungen ermöglicht haben. Denn selbst wenn man unterstellt, dass die Zugangsdaten entweder über eine Sicherheitslücke oder den Keylogger an die Täter gelangt wären, würde dies nicht erklären, wie die Täter an die PIN der Kläger gekommen sind. Die einzig denklogische Erklärung ist daher die Preisgabe durch die Kläger selbst.

Das Gericht ist aufgrund der Anhörung der Kläger und insbesondere aufgrund der Vernehmung des Zeugen E von diesem Geschehensablauf überzeugt. Seine Aussage ist glaubhaft. Zunächst decken sich die Angaben zum äußeren Geschehensablauf der Kläger, soweit diesen gefolgt wird, mit denen des Zeugen und mit den durch die Beklagte übersandten Protokollen, die inhaltlich nicht angegriffen wurden. Der Zeuge konnte die Vorgänge aufgrund seiner besonderen Sachkunde in verständlicher und nachvollziehbarer Weise schildern, wobei er stets sachlich und frei von Belastungstendenzen auftrat.

Durch das Weiterleiten der SMS vom 12.10.2022 an den vermeintlichen Mitarbeiter der Beklagten haben die Kläger ihre Pflichten nach § 675l Abs. 1 S. 1 BGB in grob fahrlässiger Weise verletzt.

Die Kläger haben diese Pflicht verletzt, indem sie dem Täter den Link für die Installation der PushTAN-App weiterleiteten. Hierbei handelten sie zur Überzeugung des Gerichts grob fahrlässig. Grobe Fahrlässigkeit liegt nur vor, wenn die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt wurde, wenn einfachste, ganz nahe liegende Überlegungen nicht angestellt wurden und das nicht beachtet wurde, was im gegebenen Fall jedem einleuchten musste (Schwintowski in: Herberger/Martinek/Rüßmann/Weth/Würdinger, jurisPK-BGB, 10. Aufl., § 675v BGB Rn 14).

In der SMS von 12.10.2022 stand ausdrücklich, dass diese Nachricht nicht an dritte Personen weitergeleitet werden darf und dass kein Mitarbeiter sie um die Weitergabe der Daten bitten wird. Allein aufgrund dieses Hinweises hätte sich dem Kläger zu 2) aufdrängen müssen, dass die Bitte um die Weiterleitung von einer unberechtigten Person stammte. Im Übrigen war dem Inhalt der SMS zu entnehmen, dass der Link dazu diente, die PushTAN-App zu installieren. Als Nutzer dieser App hätte es für den Kläger zu 2) auf der Hand liegen müssen, dass die Weiterleitung des Links eine Weiterleitung der Möglichkeit, die App zu installieren, bedeutete. Hinzu kam der Umstand, dass auf den ersten Blick der gewählte Übersendungskanal "WhatsApp" ungewöhnlich ist. In der Gesamtschau wäre es bei einfachsten, naheliegenden Überlegungen erkennbar gewesen, dass der Kläger zu 2) zu der Weiterleitung des Links zur Einrichtung der PushTAN-App in betrügerischer Absicht aufgefordert wurde.

Diese Pflichtverletzung war für die Entstehung des Schadens kausal. Nach den Ausführungen des Zeugen E konnte der Link per SMS durch die Beklagte nur an das Handy der Kläger gesandt werden, da das Empfängerhandy dafür zwingend bereits im System angelegt sein muss. Außerdem hätten die Täter ohne diesen Link keine Transaktionen von dem Konto der Kläger vornehmen können, mit Ausnahme von Umbuchungen auf weitere Konten der Kläger. Erst mit der PushTAN-App waren sie hiernach in der Lage, TANS zu generieren und die Digitalkarte zu erlangen.

Die Einholung eines Sachverständigengutachtens zum technischen Zustand des Systems der Beklagten war nicht veranlasst. Nach dem Ergebnis der Beweisaufnahme, insbesondere der Aussage des Zeugen E, steht zur Überzeugung des Gerichts fest, dass zum maßgeblichen Zeitpunkt keine Auffälligkeiten oder Datenlecks im System der Beklagten vorlagen und dieses dem Stand der Technik entsprach. Die Kläger haben keine konkreten Tatsachen vorgetragen, die auf ein Datenleck oder eine Sicherheitslücke hindeuten könnten. Ihr Einwand, das Abgreifen der PIN und der Zugangsdaten könne nur auf ein Datenleck bei der Beklagten zurückzuführen sein, erschöpft sich in einer pauschalen Behauptung ins Blaue hinein. Ein Sachverständigengutachten ist nur dann einzuholen, wenn der Sachvortrag so substantiiert ist, dass eine Begutachtung zu einem entscheidungserheblichen Ergebnis führen kann; bloße Mutmaßungen oder unbelegte Behauptungen genügen hierfür nicht. Zum Erlangen der Zugangsdaten zum Online-Banking und der PIN der Kläger müssten zudem Datenlecks bei zwei verschiedenen Systemen erfolgen, nämlich bei dem System der Beklagten und bei S-Payment, was die Kläger bereits nicht behaupten.

II. Die prozessualen Nebenentscheidungen beruhen auf §§ 91, 708 Nr. 11, 711 ZPO.

III. Der Streitwert wird auf 6.000,00 EUR festgesetzt.