Das Oberlandesgericht Bremen (1 U 32/24) hat in einem bemerkenswerten Hinweisbeschluss grundlegende Fragen zur Autorisierung von Zahlungsvorgängen und zur Haftung bei Täuschung durch sogenannte Call-ID-Spoofing-Betrüger behandelt. Der Fall betraf die Freigabe einer pushTAN durch einen Bankkunden, der aufgrund einer Täuschung glaubte, eine Rückbuchung zu veranlassen, tatsächlich aber eine Echtzeitüberweisung autorisierte. Das Gericht klärte zentrale rechtliche Probleme zur Anfechtbarkeit von Autorisierungen, zur groben Fahrlässigkeit und zu Gegenansprüchen von Zahlungsdienstleistern.
Sachverhalt
Der Kläger hatte nach mehreren Telefonanrufen, bei denen sich ein Betrüger als Bankmitarbeiter ausgab, eine pushTAN freigegeben. Er war überzeugt, eine Rückbuchung zu veranlassen, autorisierte jedoch unwissentlich eine Echtzeitüberweisung in Höhe von 10.000 EUR auf ein fremdes Konto. Die Bank verweigerte die Erstattung des Betrags und berief sich auf eine grob fahrlässige Verletzung der Sorgfaltspflichten durch den Kläger. Dieser klagte auf Rückerstattung und machte geltend, die Zahlung sei nicht autorisiert gewesen. Zudem habe die Bank Sicherheitsmängel in ihrem Online-Banking-System aufgewiesen.
Rechtliche Würdigung
Autorisierung nach § 675j BGB
Das OLG stellte klar, dass die Freigabe der pushTAN als Autorisierung im Sinne von § 675j Abs. 1 BGB anzusehen ist. Eine wirksame Autorisierung liegt vor, wenn die Zustimmung des Zahlers in der zwischen ihm und dem Zahlungsdienstleister vereinbarten Weise erfolgt. Die Freigabe der pushTAN durch den Kläger erfüllte diese Voraussetzungen, auch wenn der Kläger sich über die tatsächlichen Konsequenzen seiner Handlung im Irrtum befand.
Anfechtbarkeit der Autorisierung
Die Anfechtbarkeit der Autorisierung wegen eines Inhaltsirrtums nach § 119 Abs. 1 BGB wurde vom OLG bejaht. Der Kläger war aufgrund der Täuschung über den Inhalt seiner Willenserklärung im Irrtum. Er glaubte, eine Rückbuchung zu veranlassen, tatsächlich autorisierte er jedoch eine Überweisung an einen Dritten. Dieser Irrtum rechtfertigt eine Anfechtung, wodurch die Autorisierung ex tunc (rückwirkend) unwirksam wird.
Grobe Fahrlässigkeit des Klägers
Das Gericht bewertete das Verhalten des Klägers als grob fahrlässig. Der Kläger hatte wesentliche Sorgfaltspflichten verletzt, indem er:
- einer telefonischen Aufforderung eines unbekannten Dritten folgte,
- die angezeigten Daten des Zahlungsvorgangs nicht überprüfte,
- Sicherheitshinweise der Bank missachtete, die vor Betrugsmaschen wie Call-ID-Spoofing warnten.
Das OLG führte aus, dass der Kläger bei der Nutzung des Online-Banking-Systems verpflichtet war, seine personalisierten Sicherheitsmerkmale, insbesondere die TAN, vor unbefugtem Zugriff zu schützen. Die Weitergabe dieser Merkmale an Dritte, auch durch irrtümliche Zustimmung, stelle einen Verstoß gegen diese Verpflichtung dar, wobei auch das Vorgehen mittels Call-ID-Spoofing hieran nichts ändert:
Dem Vorwurf grob fahrlässigen Verhaltens ist entgegen der Auffassung des Klägers, der sich hierzu auch auf landgerichtliche Rechtsprechung stützt (…) auch nicht entgegenzuhalten, dass sich der Kunde durch den Anruf eines vermeintlichen Bankmitarbeiters, der Kenntnisse von kontobezogenen Daten des Kunden hat, unter Anzeige der Rufnummer der Bank (sogenanntes Call-ID Spoofing) in einer Überrumpelungssituation befindet.
Die generelle Verpflichtung, Sicherheitsmerkmale nicht anderen Personen zu offenbaren oder sonst ihrem Zugriff auszusetzen, dient gerade dem Schutz des Bankkunden davor, in einer Überrumpelungssituation z.B. durch den Anruf eines vermeintlichen Bankmitarbeiters unwissentlich einen missbräuchlichen Zugriff auf das eigene Konto zu verhindern. Nach den vereinbarten Bedingungen für das Online-Banking der Beklagten ist jede mündliche Mitteilung oder Weitergabe einer TAN außerhalb des Online-Banking ausgeschlossen. Dem Vorwurf grober Fahrlässigkeit ist daher nicht damit zu begegnen, dass der Kläger glaubte, mit einem Bankmitarbeiter zu sprechen.
Auch ungeachtet der Kenntnis des Anrufers von kontobezogenen Daten durfte der Kläger nicht davon ausgehen, dass es sich bei
dem Anrufer um eine berechtigte Person handele. Diese Daten sind vielmehr für einen beliebigen Dritten bei einem unbefugten Zugriff auf das Online-Banking-System einsehbar und konnten daher kein Vertrauen in die Berechtigung des Anrufers begründen, zumal nach den vorstehenden Ausführungen auch einem tatsächlichen Mitarbeiter der Beklagten die TANs nicht mündlich mitzuteilen gewesen wären.Dasselbe gilt daher auch für den Umstand, dass dem Kläger nach seinem Vorbringen bei dem Anruf die Festnetznummer der Beklagten angezeigt wurde, wobei hier hinzukommt, dass es als allgemein bekannt anzunehmen ist, dass bei Telefonanrufen leicht über die Identität des Anrufenden getäuscht werden kann und dass auch technische Möglichkeiten bestehen, um die gegebenenfalls auf dem Telefondisplay angezeigte Anrufernummer zu fälschen (…). Hierüber informierte auch die Beklagten in ihren auf ihrer Online-Banking-Seite veröffentlichten
Sicherheitshinweisen aus dem Jahr 2021.
Gegenansprüche der Bank
Die Beklagte konnte dem Rückforderungsanspruch des Klägers erfolgreich einen Schadensersatzanspruch nach § 675v Abs. 3 Nr. 2 BGB entgegensetzen. Dieser basiert auf der groben Fahrlässigkeit des Klägers. Das Gericht wies darauf hin, dass der Zahlungsdienstleister trotz der Anfechtung der Autorisierung berechtigt sei, den Schaden geltend zu machen, der durch die vertrauensschädigende Handlung des Klägers entstanden sei.
Sicherheitsverpflichtungen der Bank
Die Vorwürfe des Klägers, das Online-Banking-System der Beklagten sei unsicher gewesen, wies das OLG zurück. Die Bank habe angemessene Sicherheitsmaßnahmen implementiert, darunter Warnhinweise auf der Online-Banking-Seite und Sicherheitsinformationen im elektronischen Postfach. Es sei Aufgabe des Klägers gewesen, diese Hinweise zu beachten.
Zum Thema Hacking bei uns:
- Hackangriff bzw. Cyberangriff – Was tun?
- Datenleck: Herausforderungen für Unternehmen
- IT-Sicherheit im Arbeitsrecht
- Wie schütze ich mich vor einem Hackangriff?
- Was ist ein sicheres Passwort?
- Phishing-Seiten-Installation am Beispiel ZPhisher
- Bin ich von einem Hackangriff betroffen?
- Online-Betrug & Fake-Shops: Was tun?
- Glossar zum Cybercrime mit klassischen Angriffsszenarien
- Strafbarkeit der Suche nach Sicherheitslücken
- Unser Hacker-Guide: Russland, Iran, Nordkorea und China
- Unser Ransomware-Guide:
Bedeutung der Entscheidung
Das Urteil verdeutlicht, dass Kunden bei der Nutzung von Online-Banking-Systemen hohe Sorgfaltsanforderungen erfüllen müssen. Es stärkt zugleich die Position von Zahlungsdienstleistern, indem es die Bedeutung der Beachtung von Sicherheitsmaßnahmen durch die Nutzer hervorhebt. Besonders wichtig ist die Feststellung, dass eine Anfechtung der Autorisierung zwar möglich ist, die grobe Fahrlässigkeit des Kunden jedoch zu einem vollständigen Gegenanspruch des Zahlungsdienstleisters führen kann.
Fazit
Ein Blick auf die Rechtsprechung im Kontext macht deutlich, wie komplex die rechtliche Bewertung von Betrugsfällen im Online-Banking ist und wie sehr sie vom jeweiligen Einzelfall abhängt. Während das LG Köln einem betroffenen Kunden eine vergleichsweise großzügige Bewertung seiner Sorgfaltspflichten zugestand, betonte das OLG Bremen die grobe Fahrlässigkeit eines Kunden, der Sicherheitswarnungen missachtete. Das OLG Naumburg wiederum hob hervor, dass die Autorisierung von Zahlungen unter Täuschung eine Anfechtbarkeit ermöglichen kann, ohne dass dies automatisch zu einem vollständigen Haftungsausschluss des Kunden führt.
Die Differenzierungen zeigen, dass pauschale Wertungen zur Haftung weder aufseiten der Bankkunden noch der Zahlungsdienstleister gerechtfertigt sind. Die Art des Angriffs – sei es durch Call-ID-Spoofing, Phishing oder Social Engineering – mag ein Ausgangspunkt der rechtlichen Analyse sein, doch die konkrete Würdigung durch die Gerichte hängt entscheidend von den Umständen des Einzelfalls ab. Es spielt eine Rolle, wie die Sicherheitsmechanismen der Banken ausgestaltet sind, wie eindeutig die Kommunikation war und wie sorgfältig der Kunde handelte.
Besonders hervorzuheben ist, dass die Würdigung durch die Gerichte oft schwer prognostizierbar bleibt. Unterschiede in der Gewichtung von Fahrlässigkeit, Anfechtbarkeit und Sicherheitsverantwortung zeigen, dass die rechtliche Bewertung solcher Fälle keine schematische Anwendung von Normen zulässt. Vielmehr verlangt sie eine sorgfältige Abwägung der Interessen beider Seiten, bei der die jeweiligen Einzelfallfakten im Vordergrund stehen. Die Entscheidungen verdeutlichen damit nicht nur die Herausforderungen einer gerechten Verteilung der Haftung im digitalen Zahlungsverkehr, sondern auch, wie wichtig eine klare Kommunikation und Prävention durch Banken ist – ebenso wie die Sensibilisierung der Kunden für ihre Sorgfaltspflichten.
- Urheberrecht und Werknachahmung: Künstler imitiert anderen Künstler - 6. Februar 2025
- Kein Schadensersatz für beschädigtes Gemälde – Kunstmarkt und Haftungsfragen im Fokus - 6. Februar 2025
- Generative KI als Waffe: Wie Staaten GenAI für Cyberkriminalität nutzen - 5. Februar 2025