In einem Urteil des Amtsgerichts München (222 C 15098/24) aus dem Januar 2025 werden grundsätzliche Fragen zur Verantwortung von Bankkunden im digitalen Zahlungsverkehr aufgeworfen: Es ging um einen Fall, in dem ein Kunde auf einer Phishing-Seite seine Kreditkartendaten und eine SMS-TAN eingab, woraufhin ein Betrüger zwei Transaktionen in Höhe von insgesamt 2.407,25 Euro durchführte. Der Kläger forderte die Rückerstattung des Betrags von seiner Bank, doch das Gericht wies die Klage ab und stellte fest, dass der Kunde grob fahrlässig gehandelt habe. Die Entscheidung zeigt, wie hoch die Anforderungen an die Sorgfaltspflichten von Verbrauchern im Umgang mit sensiblen Zahlungsdaten sind – und wo die Grenzen der Haftung von Banken liegen.
Phishing, TAN-Weitergabe und die Folgen
Der Kläger hatte mit seiner Bank einen Verbraucherdarlehensvertrag abgeschlossen, der die Nutzung einer Kreditkarte mit einem 3D-Secure-Verfahren vorsah. Dieses Sicherheitsverfahren erfordert eine Zwei-Faktor-Authentifizierung, bei der der Kunde für Online-Zahlungen eine mobile TAN per SMS erhält. Am 2. August 2023 bot der Kläger einen Gegenstand auf der Plattform Kleinanzeigen.de an und wurde von einem vermeintlichen Käufer kontaktiert. Dieser lockte ihn auf eine gefälschte Seite mit dem Aufdruck „Sicher bezahlen“, auf der der Kläger seine Kreditkartendaten eingab. Kurz darauf erhielt er eine SMS-TAN zur Registrierung eines neuen Geräts in der Banking-App. Die TAN gab er – nach Überzeugung des Gerichts – ebenfalls auf der Phishing-Seite ein.
In der Folge wurden zwei Transaktionen in Höhe von 2.200 Euro und 207,25 Euro autorisiert, die der Kläger nicht selbst veranlasst hatte. Er beantragte eine Rückbuchung, die die Bank jedoch mit der Begründung ablehnte, er habe grob fahrlässig gehandelt, indem er seine Sicherheitsdaten preisgegeben habe. Das Gericht folgte dieser Argumentation und wies die Klage ab.
Autorisierung, Sorgfaltspflichten und die Rolle der sekundären Darlegungslast
Das Gericht prüfte zunächst, ob die streitgegenständlichen Transaktionen als autorisiert im Sinne des § 675j Abs. 1 Satz 1 BGB anzusehen waren. Zwar lag technisch betrachtet eine Autorisierung vor, da die TAN korrekt eingegeben und die Transaktionen damit freigegeben wurden. Allerdings stammte diese Autorisierung nicht vom Kläger selbst, sondern von einem Dritten, dem Betrüger. Eine wirksame Autorisierung setzt jedoch voraus, dass die Willenserklärung entweder vom Kunden selbst oder einem bevollmächtigten Vertreter abgegeben wird. Da der Kläger dem Täter keine Vollmacht erteilt hatte, war die Autorisierung unwirksam.
Dennoch scheiterte der Anspruch des Klägers an § 675v Abs. 3 Nr. 2 BGB, der eine Haftung des Kunden für nicht autorisierte Zahlungsvorgänge ausschließt, sofern er nicht grob fahrlässig gehandelt hat. Das Gericht sah es als erwiesen an, dass der Kläger die SMS-TAN auf der Phishing-Seite eingegeben hatte. Hierfür sprach nicht nur der zeitliche Zusammenhang zwischen dem Erhalt der TAN und der Registrierung eines neuen Geräts, sondern auch die Plausibilität der Betrugsmasche: Ein durchschnittlich aufmerksamer Nutzer hätte erkennen müssen, dass die Eingabe von Kreditkartendaten und TANs auf einer unbekannten Seite ein erhebliches Risiko birgt.
Das Gericht stützte seine Überzeugung auf die sekundäre Darlegungslast des Klägers. Da dieser nicht substantiiert erklären konnte, wie der Täter auf andere Weise an die TAN gelangt sein könnte, musste das Gericht davon ausgehen, dass der Kläger die TAN selbst preisgegeben hatte. Die bloße Behauptung, der Täter habe die TAN auf „technisch nicht erklärbare Weise“ erhalten, reichte nicht aus, um die Darlegungslast zu erfüllen.
Bewertung der Entscheidung
Die Entscheidung unterstreicht, dass Bankkunden im Umgang mit ihren Zahlungsdaten höchste Sorgfalt walten lassen müssen. Die Weitergabe von TANs oder Kreditkartendaten an Dritte – selbst wenn diese sich als seriöse Kaufinteressenten ausgeben – stellt eine grobe Pflichtverletzung dar, die den Kunden von jedem Erstattungsanspruch ausschließt. Das Gericht betonte, dass jeder durchschnittlich aufmerksame Nutzer wissen müsse, dass solche Daten niemals an Unbekannte weitergegeben werden dürfen.
Für Banken bedeutet das Urteil eine Bestätigung ihrer Position: Solange sie nachweisen können, dass der Kunde seine Sicherheitsdaten preisgegeben hat, haften sie nicht für die Folgen von Phishing-Betrug. Allerdings bleibt die Frage, wie Banken in Zukunft mit Fällen umgehen werden, in denen die TAN-Weitergabe weniger offensichtlich ist. Hier könnte die Beweislage schwieriger werden, insbesondere wenn Kunden plausibel darlegen können, dass ihre Daten auf andere Weise abhandengekommen sind.
Digitale Sicherheit als gemeinsame Verantwortung
Die Entscheidung des Amtsgerichts München ist ein klares Signal an Verbraucher, im Umgang mit sensiblen Zahlungsdaten keine Risiken einzugehen. Wer seine TAN oder Kreditkartendaten auf einer unbekannten Seite eingibt, handelt grob fahrlässig und verliert damit den Anspruch auf Erstattung nicht autorisierter Transaktionen. Gleichzeitig zeigt der Fall, wie wichtig es ist, dass Banken ihre Kunden über die Risiken von Phishing aufklären – denn nur informierte Nutzer können sich wirksam schützen. Letztlich ist die digitale Sicherheit eine gemeinsame Verantwortung: Banken müssen sichere Systeme bereitstellen, und Kunden müssen diese Systeme verantwortungsvoll nutzen. Wo diese Verantwortung verletzt wird, wie im vorliegenden Fall, trägt der Kunde die Konsequenzen.
Erreichbarkeit:Per Mail, Rückruf, Threema oder Whatsapp.
Unsere Anwaltskanzlei im Raum Aachen ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht.
- Verbot verkleideter Telekommunikationsanlagen und der „Smarte Futterautomat“ - 15. Januar 2026
- Terrorgram-Studie zu “Teenage Terrorists” - 14. Januar 2026
- Phishing-Angriff auf Apple Pay: Bank muss mangels starker Kundenauthentifizierung erstatten - 14. Januar 2026
