LG Köln zu Call-ID-Spoofing und grober Fahrlässigkeit

In seinem Urteil vom 8. Januar 2024 (22 O 43/23) hatte sich das Landgericht Köln mit den rechtlichen Implikationen eines Online-Banking-Betrugsfalls zu befassen, der durch Call-ID-Spoofing ausgelöst wurde. Kernfragen betrafen die Autorisierung von Zahlungsvorgängen, die Haftung des Bankkunden und die Sorgfaltspflichten der Bank. Die Entscheidung stellt wesentliche Maßstäbe für die Beurteilung grober Fahrlässigkeit und Verbraucherschutz im digitalen Zahlungsverkehr auf.

Sachverhalt

Der Kläger, ein Kunde der beklagten Sparkasse, wurde Opfer eines Betrugs, bei dem die Täter Call-ID-Spoofing nutzten, um sich als Mitarbeiter der Bank auszugeben. Sie überzeugten ihn, eine vermeintliche Entsperrung seines Kontos über die pushTAN-App vorzunehmen. Tatsächlich autorisierte der Kläger jedoch die Einrichtung von Apple Pay auf einem fremden Smartphone, was den Betrügern ermöglichte, binnen zwei Tagen rund 9.933,38 EUR von seinem Konto abzubuchen.

Der Kläger forderte von der Bank die Erstattung des Schadens gemäß § 675u BGB. Die Bank hielt dem entgegen, der Kläger habe grob fahrlässig gegen seine Sorgfaltspflichten verstoßen, indem er den Freigabetext in der App nicht ausreichend geprüft habe.

Rechtliche Würdigung

Nicht autorisierte Zahlungsvorgänge (§ 675u BGB)

Das LG Köln urteilte, dass die Zahlungsvorgänge nicht vom Kläger autorisiert worden waren. Gemäß § 675j Abs. 1 Satz 1 BGB bedarf eine wirksame Autorisierung der Zustimmung des Zahlungspflichtigen zum jeweiligen Vorgang. Der Kläger hatte keine ausdrückliche Zustimmung zu den Apple-Pay-Transaktionen gegeben, sodass diese rechtlich als nicht autorisiert galten. Das Gericht stellte zudem klar, dass die einseitige Erklärung des Klägers zur Einrichtung von Apple Pay nicht so weit interpretiert werden könne, dass sie alle nachfolgenden Zahlungsvorgänge umfasse.

Die Beklagte konnte den Beweis für eine wirksame Autorisierung gemäß § 675w BGB nicht erbringen, weshalb sie zur Erstattung verpflichtet war.

Grobe Fahrlässigkeit des Klägers (§ 675v BGB)

Nach § 675v Abs. 3 BGB haftet ein Zahler nur dann für Schäden, wenn diese durch vorsätzliche oder grob fahrlässige Verstöße gegen Sorgfaltspflichten verursacht wurden. Grobe Fahrlässigkeit setzt voraus, dass das Verhalten des Klägers sowohl objektiv schwerwiegend als auch subjektiv schlechthin unentschuldbar war.

Das LG Köln befand, dass der Kläger nicht grob fahrlässig gehandelt habe. Die Bezeichnung „Registrierung Karte“ in der pushTAN-App war nach Ansicht des Gerichts zu ungenau, um dem Kläger bei der Überprüfung der Freigabe die tatsächliche Tragweite seines Handelns bewusst zu machen. In einer Überrumpelungssituation, wie sie hier durch den Anruf der Betrüger geschaffen wurde, könne ein durchschnittlicher Bankkunde auch bei sorgfältiger Prüfung nicht erwarten, dass die Freigabe zur Einrichtung eines Zahlungssystems auf einem fremden Gerät führe.

Das Gericht betonte zudem, dass die Sparkasse eine deutliche und verständliche Beschreibung der autorisierten Vorgänge hätte vorsehen müssen, etwa durch die Verwendung des Begriffs „Apple Pay“.

Sorgfaltspflichten der Bank

Das LG Köln hob hervor, dass Banken durch klare und transparente Kommunikation einen erheblichen Beitrag zur Prävention von Betrugsfällen leisten können. Der unpräzise Freigabetext „Registrierung Karte“ wurde von der Kammer als unzureichend beurteilt. Die Bank habe es versäumt, den Freigabevorgang so zu gestalten, dass der Kunde die Art des autorisierten Vorgangs unmissverständlich erkennen konnte.

Bedeutung der Entscheidung

Das Urteil des LG Köln ist wegweisend für die Bewertung von Betrugsfällen im Online-Banking. Es betont die Verpflichtung der Banken, durch klare Informationen und nutzerfreundliche Systeme die Sicherheit zu erhöhen. Gleichzeitig verdeutlicht es, dass grobe Fahrlässigkeit nicht ohne Weiteres unterstellt werden kann, insbesondere wenn Überrumpelungssituationen und unzureichende Kommunikation durch die Bank eine Rolle spielen.

Fazit

Das LG Köln stärkt mit dieser Entscheidung die Position von Bankkunden und erhöht den Druck auf Banken, Sicherheitsmechanismen zu verbessern und präzise Kommunikationsstandards einzuführen. Das Urteil zeigt, wie wichtig der Schutz von Verbrauchern in einer digitalisierten Finanzwelt ist und wie Gerichte darauf achten, Sorgfaltspflichten ausgewogen zu bewerten.

• Über
• Letzte Artikel

Rechtsanwalt Jens Ferner

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Rechtsanwalt Jens Ferner ist Spezialist für Strafverteidigung (insbesondere bei Wirtschaftskriminalität wie Geldwäsche, Betrug bis zu Cybercrime) sowie für IT-Recht (Softwarerecht und KI, IT-Vertragsrecht und Compliance) mit zahlreichen Publikationen. Als Fachanwalt für Strafrecht und IT-Recht vertrete ich Mandanten in komplexen Zivil- und Strafverfahren, insbesondere bei streitigen Fragen im Softwarerecht, bei der Abwehr von strafrechtlichen Vorwürfen oder Ansprüchen in der Managerhaftung sowie bei der Einziehung von Vermögenswerten. Mein Fokus liegt auf der Schnittstelle zwischen technischem Verständnis und juristischer Strategie, um Sie in digitalen Fällen und wirtschaftlichen Strafsachen effektiv zu verteidigen und zu beraten.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Anwaltskanzlei ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht und Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen übernommen - wir sind im Raum Aachen zu finden und bundesweit tätig.

Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

• Russmedia-Urteil des EuGH: Ende des Internet? - 6. Dezember 2025
• BVerfG kartiert Grenzen der Verdachtsberichterstattung - 6. Dezember 2025
• Übermittlung von Positivdaten an SCHUFA: BGH bestätigt Betrugsprävention als Rechtfertigungsgrund - 6. Dezember 2025