Sabine Kröger, Rechtsanwältin, Fachanwältin für Bank- und Kapitalmarktrecht und Handels- und Gesellschaftsrecht, SKW Schwarz Rechtsanwälte, München
Mit aktuellem Urteil vom 27.09.2022, Az.: 5 U 1308/22, hat das OLG München im Rahmen eines sogenannten „Phishing-Falls“ u. a. zu den bankseitigen Pflichten zur Schadensabwehr bei Online-Banking-Betrugsfällen zu Gunsten von Kreditinstituten entschieden.
Die Klägerin unterhielt bei der beklagten Sparkasse ein Girokonto und ein Geldmarktkonto. Seit ca. 20 Jahren nutzte die Klägerin aufgrund einer Vereinbarung mit der Sparkasse das chipTan-Verfahren. Grundlage für die Nutzung des Online-Banking durch die Klägerin waren die mit der Sparkasse vereinbarten „Bedingungen für das Online-Banking“, die der Klägerin die Sorgfaltspflichten auferlegten, Authentifizierungselemente zu schützen, insbesondere diese geheim zu halten, und die Sicherheitshinweise der Sparkasse zu beachten.
Auf der Eingangsseite des Online-Banking-Portals veröffentlichte die Sparkasse regelmäßig in Sicherheitshinweisen die Warnung vor sog. „Phishing-Versuchen“ und warnte im Zeitpunkt der streitgegenständlichen Ereignisse: „Betrüger rufen Sie an oder versenden E-Mails, die aussähen, als kämen sie von der Sparkasse. Damit werden Sie zu Testüberweisungen, Herausgabe der Bankdaten, Telefonnummer o. ä. aufgefordert. […] Wichtig: Ihre Sparkasse wird Sie niemals per Telefon oder E-Mail auffordern, auf einer Internetseite Daten, wie Ihre IBAN, PIN, TAN oder Ihre Kreditkartendaten einzugeben. […]“
Am 17./18.01.2021 wurden von dem Girokonto der Klägerin neun Überweisungen (jeweils in Höhe von knapp unter EUR 5.000,00) in Höhe von insgesamt EUR 44.782,00 an unterschiedliche Empfängerkonten veranlasst bzw. gebucht. Am 18.01.2021 wurde zudem ein Übertrag in Höhe von EUR 20.000,00 vom Geldmarktkonto auf das Girokonto der Klägerin vorgenommen. Nach der letzten Überweisung befand sich das Girokonto im Minus und das Geldmarktkonto hatte einen Stand von EUR 0,15. Das Tageslimit der Klägerin betrug ursprünglich EUR 6.000,00, wurde am 16.01.2021 auf EUR 50.000,00 heraufgesetzt, am 17.01.2021 auf EUR 48.888,00 herabgesetzt und sodann erneut auf EUR 50.000,00 erhöht.
Am 17.01.2021 erstattete die Klägerin Anzeige und ließ das Girokonto sperren. Das Ermittlungsverfahren der Staatsanwaltschaft konnte bislang keine konkreten Ergebnisse zu Täterschaft und Tathergang hervorbringen.
Die Klägerin hatte angegeben, am 13.01.2021 in einer angeblich von der Sparkasse stammenden E-Mail kontaktiert worden zu sein mit dem Hinweis, dass eine Systemumstellung erfolgen müsse. Die E-Mail sei mit einem Button zur Generierung eines Verifizierungscodes versehen gewesen, mit dem sich ein angekündigter Anrufer identifizieren würde. Am 16.01.2021 (Samstag) sei ein Anruf eines angeblichen Sparkassen-Mitarbeiters erfolgt. Dieser habe der Klägerin mitgeteilt, dass die Systemumstellung coronabedingt am Wochenende erfolgen müsse und er mit ihr ihren TAN-Generator neu konfigurieren wolle. Auf seine Anweisung hin habe die Klägerin ihre EC-Karte geholt und die Tasten 1 und 2 des TAN-Generators jeweils drei Sekunden gehalten und ihm den so generierten Startcode mitgeteilt. Es sei dann verabredet worden, dass am nächsten Tag erneut telefoniert werden solle. Die Klägerin habe in dem zweiten Telefonat erneut die Anweisung erhalten, die Tasten 1 und 2 des TAN-Generators für drei Sekunden zu drücken und den erhaltenen Startcode mitzuteilen. Der Anrufer habe der Klägerin dann insgesamt neun Mal eine IBAN und einen Betrag durchgegeben, den sie jeweils manuell in den TAN-Generator eingab. Die Klägerin gab weiter an, dem Anrufer weder ihre vollständigen Online-Banking-Zugangsdaten noch ihre PIN noch TANs übermittelt zu haben. Ihr Tageslimit sei ohne ihr Zutun geändert worden.
Die Kundin erhob Klage beim Landgericht Landshut (Az.: 24 O 713/21) zur Rückerstattung der überwiesenen Beträge, welche dieses abwies. Die Berufung bestätigte die Klageabweisung nach einer Beweiserhebung aufgrund mündlichen Gutachtens eines Sachverständigen sowie Zeugenaussage eines Bankmitarbeiters.
Der OLG München urteilt, dass der Klägerin der geltend gemachte Anspruch gemäß § 675u S. 2 BGB nicht zustehe, da die Sparkasse mit einem Schadensersatzanspruch in gleicher Höhe gemäß § 675v Abs. 3 i. V. m. § 389 BGB aufgerechnet habe.
Bei den streitgegenständlichen Zahlungsvorgängen handele es sich um nicht autorisierte Zahlungsvorgänge, so dass grundsätzlich eine Erstattungspflicht bestehe. Zwar bestehe ein Anscheinsbeweis zu Gunsten der Sparkasse für eine Autorisierung der streitgegenständlichen Überweisungen, da der BGH das chipTan-Verfahren für praktisch unüberwindbar hält (§ 675w Abs. 1 BGB). Dieser sei jedoch vorliegend erschüttert, da sich aus den substantiierten Ausführungen der Klägerin der Gesamteindruck eines Betrugsfalles ergebe.
Der Sparkasse stehe jedoch ein Schadensersatzanspruch in gleicher Höhe zu. Denn ihr sei der Nachweis gelungen, dass die Klägerin gegen ihre Pflichten aus den Bedingungen zum Online-Banking grob fahrlässig verstoßen habe, da sie geheimhaltungspflichtige TANs als Authentifizierungsmerkmale an einen Dritten weitergegeben habe.
Technisch sei es nicht möglich, dass die TANs auf andere Weise als durch das chipTan-Gerät der Klägerin hätten generiert werden können. Das chipTan-Verfahren sei sehr sicher. Die erforderliche TAN-Berechnung beruhe auf verschiedenen Komponenten; das Erraten der TAN sei so gut wie ausgeschlossen.
Die Klägerin habe die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt, da sie wiederholt trotz ihrer langjährigen Erfahrungen im Online-Banking für alle neun Überweisungen – für die sie selbst jeweils manuell unterschiedliche Kontonummern und Beträge in den Generator eingab – und zwei Limiterhöhungen jeweils einzelne TANs an den Anrufer übermittelte, obwohl die Beklagte über diese Betrugsmasche aufgeklärt hatte.
Ein Nachweis der Klägerin, dass die Sparkasse an dem eingetretenen Vermögensschaden ein Mitverschulden trifft oder diese gegen ihre Schadensminderungspflicht verstoßen hätte (§ 254 Abs. 1 BGB), konnte nicht geführt werden.
Eine Bank müsse grundsätzlich weder generell prüfen, ob die Abwicklung eines Zahlungsverkehrsvorgangs Risiken für einen Beteiligten begründet, noch Kontobewegungen allgemein und ohne besondere Anhaltspunkte überwachen. Eine Warnpflicht bestehe erst dann, wenn die Bank ohne nähere Prüfung im Rahmen der normalen Bearbeitung eines Zahlungsverkehrsvorgangs aufgrund einer auf massiven Verdachtsmomenten beruhenden objektiven Evidenz den Verdacht einer Veruntreuung schöpft. Kreditinstitute werden im bargeldlosen Zahlungsverkehr nur zum Zweck der technisch einwandfreien, einfachen und schnellen Abwicklung tätig und haben sich schon wegen dieses begrenzten Geschäftszwecks und der Massenhaftigkeit der Geschäftsvorgänge grundsätzlich nicht um die beteiligten Interessen ihrer Kunden zu kümmern. Auch aus der etwaigen Überschreitung der vereinbarten finanziellen Nutzungsgrenze ergebe sich kein Mitverschulden, da eine finanzielle Nutzungsgrenze keine Bestimmung zum Schutz des Online-Banking-Kunden darstelle.
Die Sparkasse habe nachweisen können, dass sie in gleich gelagerten Betrugsfällen nach einem standardisierten Verfahren vorgeht. Es werde eine Sperrung der betroffenen Konten veranlasst, untersucht, ob weitere Terminüberweisungen beauftragt worden seien, und versucht, die Überweisung anzuhalten, solange sie noch im Einflussbereich der Sparkasse sei. Im Übrigen werde mit der Empfängerbank Kontakt aufgenommen und die Rückholung der Gelder versucht. Eine Überweisung werde dabei im normalen Geschäftsverkehr systembedingt grundsätzlich bereits 30 Minuten nach dem Auftrag ausgeführt und dem Geschäfts- und Einflussbereich der Sparkasse entzogen. Dies verzögere sich am Wochenende, führe aber nicht dazu, dass Zahlungen, die vom System nicht als „auffällig“ qualifiziert würden – wie vorliegend –, aufgehalten würden. Die Transaktionen würden in einem Rechenzentrum einer Finanzinformatikfirma nach vorgegebenen Protokollen abgearbeitet.
PRAXISTIPPS
- Das OLG München liegt mit seiner Entscheidung vor allem hinsichtlich der Ausführungen zur Erschütterung des Anscheinsbeweises und dazu, dass bezogen auf die Besonderheiten des Online-Banking bei der telefonischen Weitergabe von TANs entgegen einer Warnnachricht der Bank der Vorwurf einer groben Fahrlässigkeit des Kunden nahe liege, auf der Linie der Rechtsprechung des BGH und der herrschenden Meinung (vgl. BGH, Urteil vom 26.01.2016, Az.: IX ZR 91/14; Maihold in: Ellenberger/Bunte, Bankrechts-Handbuch (6. Aufl.), § 33 Rn. 298).
- Dies trifft auch für die grundsätzlichen Ausführungen des OLG München zu den Mitwirkungs-/Schadensminderungspflichten von Kreditinstituten zu, nach denen dem Institut gerade nicht abverlangt wird, Kontobewegungen ganz allgemein und ohne „besondere Anhaltspunkte“ zu überwachen (vgl. BGH, Urteil vom 24.03.2012, Az.: XI ZR 96/11). Das OLG München ließ neun betragsmäßig ähnliche Überweisungen innerhalb eines kurzen zeitlichen Abstands an unterschiedliche Empfängerkonten samt Limitänderungen nicht für derartige „besondere Anhaltspunkte“ ausreichen.
- Auch widmet sich das OLG München im besonderen Maße der technischen Details der Funktionsweise des chipTan-Verfahrens und stellt maßgeblich darauf ab, welche Einflussmöglichkeiten der einzelnen Sparkasse auf die technische Abwicklung zustehen. Bei Online-Banking-Betrugsfällen sollten Institute daher im Rahmen von Gerichtsverfahren von vornherein umfassend mit entsprechenden Beweisangeboten zu der Funktionsweise des in Streit stehenden Online-Verfahrens vortragen und die begrenzten Einflussmöglichkeiten des Instituts nach dem erfolgten Kundenauftrag herausstellen.
- Zur Risikominimierung bleibt für die Institute darüber hinaus wichtig, dass diese nachweisen können, dass sie im Vorfeld eines Betrugsfalles ihre Kunden deutlich sichtbar ständig über aktuelle Betrugsmaschen auf ihren Webseiten informieren.
Beitragsnummer: 21862