Zur Haftung des Kontoinhabers bei Buchung im Rahmen eines Phishing-Angriffs

Das Oberlandesgericht Naumburg (OLG, 5 U 11/24) setzte sich in diesem Urteil mit der Frage auseinander, ob eine Bank zur Rückgängigmachung einer Belastungsbuchung verpflichtet ist, wenn die Klägerin im Rahmen eines -Angriffs persönliche Zugangsdaten sowie Transaktionsnummern (TANs) telefonisch an Betrüger weitergegeben hatte. Der Fall beleuchtet die rechtliche Bewertung von Autorisierungen, grober Fahrlässigkeit und der Pflicht zur starken Kundenauthentifizierung.

Sachverhalt

Die Klägerin war Opfer eines Phishing-Angriffs geworden, bei dem die Täter sie dazu brachten, TANs über das Chip-TAN-Verfahren telefonisch weiterzugeben. Die Betrüger nutzten diese TANs, um mehrere Überweisungen zu autorisieren, darunter eine Zahlung in Höhe von 35.555 EUR. Die Klägerin machte geltend, die Zahlung sei nicht von ihr autorisiert worden, weshalb die Bank den Betrag ihrem Konto gutschreiben müsse. Die Beklagte hielt dem entgegen, die Klägerin habe grob fahrlässig gegen ihre Sorgfaltspflichten verstoßen.

Während das Landgericht Halle der stattgab, hob das OLG Naumburg dieses Urteil auf und wies die Klage ab.


Rechtliche Würdigung

Autorisierung und Authentifizierung

Das Gericht stellte klar, dass ein Zahlungsvorgang nach § 675j Abs. 1 BGB nur dann autorisiert ist, wenn der Zahler ausdrücklich zustimmt. Eine bloße Authentifizierung durch PIN und TAN reicht nicht aus, um unwiderleglich zu vermuten, dass die Autorisierung durch den Zahler erfolgte. Vielmehr sind die Gesamtumstände des Einzelfalls zu würdigen.

Im vorliegenden Fall hatte die Klägerin keine ausdrückliche Zustimmung zu den Überweisungen gegeben, sondern die TANs in der irrigen Annahme weitergeleitet, mit einer Bankmitarbeiterin zu sprechen. Das Gericht erkannte jedoch, dass diese Weitergabe eine Übertragung der Autorisierung auf die Betrüger darstellte, da sie den Zahlvorgang letztlich ermöglichte.

Grobe Fahrlässigkeit der Klägerin

Eine zentrale Frage war, ob die Klägerin grob fahrlässig handelte. Grobe Fahrlässigkeit setzt voraus, dass der Sorgfaltspflichtverstoß objektiv schwerwiegend und subjektiv schlechthin unentschuldbar ist. Das OLG kam zu dem Ergebnis, dass die Klägerin die gebotene Sorgfalt in erheblichem Maße verletzt hatte:

  1. Telefonische Weitergabe von TANs: Die Klägerin hatte TANs telefonisch an eine vermeintliche Bankmitarbeiterin weitergegeben, obwohl ihr bekannt war, dass TANs ausschließlich zur Bestätigung eigener Transaktionen genutzt werden dürfen.
  2. Ungewöhnliche Umstände: Die angebliche Dringlichkeit der Sicherheitsmaßnahme und die späte Uhrzeit des Anrufs hätten der Klägerin Anlass zur Skepsis geben müssen.
  3. Vernachlässigung offensichtlicher Hinweise: Beim manuellen Chip-TAN-Verfahren wird die Empfänger-IBAN und der Betrag angezeigt. Diese Informationen hätten der Klägerin verdeutlichen müssen, dass es sich nicht um die Installation eines Sicherheitsprogramms handelte.

Das Gericht betonte, dass die Klägerin bei Wahrung der gebotenen Sorgfalt Verdachtsmomente hätte erkennen und den verhindern können.

Starke Kundenauthentifizierung

Die Klägerin machte geltend, die Bank habe ihre Pflicht zur starken Kundenauthentifizierung gemäß § 1 Abs. 24 ZAG verletzt. Das OLG stellte jedoch fest, dass die Bank die Anforderungen an die Authentifizierung erfüllt hatte. Die von der Klägerin erzeugten TANs wurden ordnungsgemäß verwendet, sodass die Bank ihre technischen Sicherungspflichten nicht verletzte.

Mitverschulden der Bank

Das OLG lehnte ein Mitverschulden der Bank ab. Es sei zwar denkbar, dass eine mangelnde Aufklärung über aktuelle Phishing-Methoden ein Mitverschulden begründen könnte, im vorliegenden Fall habe die Bank jedoch angemessene Sicherheitsmaßnahmen bereitgestellt. Zudem sei die Klägerin verpflichtet gewesen, Verdachtsmomente selbstständig zu erkennen und zu handeln.

Bedeutung der Entscheidung

Das Urteil stärkt die Anforderungen an die Eigenverantwortung der Kunden im Online-Banking. Es zeigt, dass die Verletzung grundlegender Sorgfaltspflichten schwerwiegende Konsequenzen haben kann. Gleichzeitig verdeutlicht die Entscheidung, dass Authentifizierung und Autorisierung strikt voneinander zu trennen sind und eine Bank nicht allein aufgrund einer technischen Authentifizierung haftet.

Fazit

Das OLG Naumburg hat mit seiner Entscheidung wichtige Maßstäbe für die Beurteilung von Phishing-Fällen und die Haftung bei nicht autorisierten Zahlungsvorgängen gesetzt. Es betont die Notwendigkeit, dass Kunden sorgfältig handeln und verdächtige Umstände hinterfragen. Banken sollten aus der Entscheidung ableiten, dass klare Kommunikation und Sicherheitsaufklärung von essenzieller Bedeutung sind, um Kunden vor Betrug zu schützen.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft. Ich bin Softwareentwickler, in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.