Die Weitergabe einer TAN in einem Telefongespräch begründet den Vorwurf der groben Fahrlässigkeit, so dass eine Bank nicht verpflichtet ist, das über „Phishing“ ergaunerte Geld zu erstatten. Das hat das Amtsgericht München entschieden. Zuvor war eine als Nachricht der Hausbank fingierte E-Mail bei einer Kontoinhaberin eingegangen, die das Online-Banking-Angebot ihrer Bank nutzte.
Darum geht es
Ein Ehepaar aus Aying unterhält bei der beklagten Bank ein Girokonto. Beide nutzten das „Direct B@nking“-Angebot der Bank im Internet für ihr Girokonto.
Am 12.05.2014 erhielt die Ehefrau eine Phishing-E-Mail, die als Absender „HypoVereinsbank [mailto:direct-b@hypovereinsbank]“ auswies und mitteilte, dass der Zugang zum „Direct B@nking“ bald ablaufe, sofern die Synchronität der SEPA-Umstellung im Zugang nicht aktualisiert werde. Es wurde aufgefordert, auf einen Link zur manuellen Aktualisierung des Zugangs zu klicken. Die Ehefrau klickte auf diesen Link und gab dort ihren Namen, ihre Kontonummer sowie ihre Festnetznummer an.
Am 13.05.2014 rief eine weibliche Person die Ehefrau des Klägers an und gab sich als Mitarbeiterin der Bank aus. Von dieser wurde die Ehefrau gebeten, sich Nummern zu notieren, und diese mit den Nummern zu vergleichen, die ihr sogleich in einer SMS mitgeteilt werden würden.
Falls die Buchstaben/Ziffern übereinstimmen würden, sollte sie die letzte Ziffernfolge in der SMS der Anruferin mitteilen. Nach Erhalt der SMS mit dem Inhalt „Die mobile TAN für Ihre Überweisung von 4.444,44 EUR auf das Konto (...) mit BIC (...) lautet: 253844“ teilte die Ehefrau die Ziffernfolge 253844 der Anruferin mit.
In der Folge wurde ein Betrag von 4.444,44 € auf das Konto (...) mit BIC (...) überwiesen. Die Ehefrau ließ das Konto am 18.05.2014 sperren und stellte am 19.05.2014 Strafanzeige gegen Unbekannt. Versuche, den Betrag von diesem Konto zurückzuerlangen, blieben ohne Erfolg. Die Bank weigerte sich, den Schaden zu ersetzen. Daraufhin erhob das Ehepaar Klage auf Zahlung von 4444,44 € beim Amtsgericht München.
Wesentliche Entscheidungsgründe
Der zuständige Richter wies die Klage ab. Das Ehepaar kann von seiner Bank nicht verlangen, ihm den durch das „Phishing“ entstandenen Schaden zu erstatten.
Die Weitergabe der TAN im Telefongespräch begründet den Vorwurf der groben Fahrlässigkeit, so das Urteil. Beim mobilen TAN-Verfahren würde eine TAN stets für eine konkrete Aktion, vor allem für eine konkrete Überweisung erzeugt und per SMS auf das Mobiltelefon des Kunden verschickt.
Die SMS enthalte aber gerade nicht nur die TAN, sondern lautet wie hier: „Die mobile TAN für Ihre Überweisung von 4.444,44 € auf das Konto......“. Damit würde dem Kunden noch einmal vor Augen geführt, dass es sich nicht um eine beliebige TAN handelt, sondern auch, für welchen konkreten Vorgang diese TAN geschaffen worden sei, etwa für eine Überweisung und ferner, auf welches Konto und mit welchem Betrag diese Überweisung erfolgen solle.
Beachtet ein Kunde diese deutlichen Hinweise nicht und gibt die TAN sodann an einen Dritten weiter, der damit dann eine Überweisung durchführt, liegt hierin kein bloß einfach fahrlässiger Pflichtenverstoß mehr; denn in diesem Fall muss es im Allgemeinen jedem einleuchten, dass es sich um eine TAN handelt, deren Weitergabe nach § 675l BGB wie auch nach den vertraglichen Bedingungen nicht zulässig ist und die die Gefahr mit sich bringt, eine missbräuchliche Überweisung auszulösen.
Das Urteil ist rechtskräftig.
Amtsgericht München, Urt. v. 05.01.2017 - 132 C 49/15
Quelle: Amtsgericht München, Pressemitteilung v. 18.08.2017