Tilman Hölldampf, Rechtsanwalt, Thümmel, Schütze & Partner, Stuttgart
Das OLG Frankfurt hatte in seinem Urteil v. 06.12.2023 – 3 U 3/23 – über einen der derzeit in der Praxis häufiger vorkommenden Überweisungsbetrugsfälle zu entscheiden. Der Kontoinhaber erhielt von einer zuvor durch seine Bank verwendeten Telefonnummer eine SMS mit dem Hinweis, sein Konto sei eingeschränkt worden und er müsse sich zu einem „neuen S-CERT Verfahren“ anmelden. Der Kontoinhaber betätigte daraufhin den in der SMS angegebenen Link und wurde kurz darauf durch einen vermeintlichen Bankmitarbeiter angerufen. Auf Geheiß dieses Anrufers hat der Kontoinhaber sodann nach seinen Angaben in seiner PushTAN-App eine Freigabe erteilt, ohne die angezeigte Nachricht genau zu prüfen. Tatsächlich wurde, wie die Bank anhand entsprechender Transaktionsprotokolle nachweisen konnte, zunächst das Überweisungslimit für das betroffene Konto hochgesetzt und sodann eine Überweisung über EUR 49.999,99 getätigt. Beide Vorgänge wurden mittels 2-Faktor-Authentifizierung autorisiert. Der Kontoinhaber hat dem entgegengehalten, sich lediglich an eine Bestätigung mittels PushTAN-App erinnern zu können.
Der Senat hat aufgrund der vorgelegten Transaktionsprotokolle, welche eine Freigabe beider Vorgänge im Wege der 2-Faktor-Authentifizierung belegen, den Angaben des Klägers nicht geglaubt. Dies sowohl wegen Inkonsistenzen und Widersprüchen in den klägerischen Angaben, insbesondere auch im Hinblick darauf, dass der Kläger im Prozessverlauf und seiner Anhörung immer nur „scheibchenweise“ Informationen preisgab. Der Senat ging daher von einem grob fahrlässigen Verhalten des Kontoinhabers aus, weil dieser die ihm in der PushTAN-App angezeigten Aufträge, ohne diese sorgfältig zu kontrollieren, freigegeben hat. Dabei kann dem Kontoinhaber nach Auffassung des Senats nicht zugutekommen, dass er nach eigenen Angaben einen „atypischen Ablauf“ in der App wahrgenommen haben will. Denn es werde durch Banken und öffentliche Medien bereits seit längerer Zeit vor Phishing-Angriffen gewarnt, so dass dieses „kriminelle Phänomen“ allgemein bekannt sei. Dem Kontoinhaber hätte daher anhand der Umstände auffallen müssen, dass es sich um ein Betrugsszenario handelt. Der Umstand, dass die SMS von einer manipulierten Absenderinformation stammt (sog. „Spoofing“), könne den Kontoinhaber nicht entlasten, da auch diese Manipulationsmöglichkeit allgemein bekannt ist.
Der Senat versagte daher dem Kläger den geltend gemachten Erstattungsanspruch nach § 675u S. 2 BGB, weil diesem ein Schadensersatzanspruch der Bank gem. § 675v Abs. 3 Nr. 2 BGB entgegenstand.
PRAXISTIPP
In Überweisungsbetrugsfällen kommt es oftmals vor, dass Kontoinhaber in ihren Einlassungen zum Tathergang „mauern“. Das ist nicht selten prozesstaktisch motiviert durch den Umstand, dass nach § 675u S. 2 BGB der Kontoinhaber grundsätzlich in Betrugsfällen einen Anspruch auf Wiedergutschrift hat und die Bank beweisbelastet ist für einen dem entgegenstehenden Schadensersatzanspruch wegen grober Fahrlässigkeit gemäß § 675v Abs. 3 Nr. 2 BGB. Indem Tatbeiträge des Kontoinhabers – teilweise in mit der prozessualen Wahrheitspflicht schlichtweg nicht vereinbarer Weise – geleugnet oder heruntergespielt werden, erhoffen sich Klageparteien, der Bank die Beweisführung zu erschweren bzw. unmöglich zu machen. Mitunter zeigen die Instanzgerichte nur wenig Engagement, dieser Prozesstaktik Einhalt zu gebieten.
In Anbetracht dessen ist sehr begrüßenswert, wie kritisch der Senat in dem hier entschiedenen Fall Angaben des Kontoinhabers hinterfragt und teilweise nicht geglaubt hat. Denn eines haben die derzeitigen Überweisungsbetrugsfälle so gut wie immer gemeinsam: ohne einen irgendwie gearteten Tatbeitrag des Kontoinhabers funktionieren die Betrugsmaschen nicht. Es erfolgt stets eine – teilweise sehr geschickte – Manipulation des Kontoinhabers, um diesen zu der notwendigen Mitwirkungshandlung (zumeist die Freigabe in einer Banking-App) zu bewegen. Doch auch wenn Betrugsmaschen mitunter sehr perfide sind, entbindet dies den Kontoinhaber nicht davon, seinen Sorgfaltspflichten zu genügen und Auffälligkeiten kritisch zu hinterfragen. Kontrolliert der Kontoinhaber einen ihm in der Banking App angezeigten Auftrag nicht sorgfältig und/oder gibt er einen von ihm selbst gar nicht initiierten Auftrag frei, ist regelmäßig grobe Fahrlässigkeit gegeben.
Ebenfalls begrüßenswert ist, dass der Senat die Sorgfaltspflichten des Kontoinhabers im Hinblick auf Betrugsmaschen wie Phishing und Spoofing – anders als dies teilweise durch Instanzgerichte erfolgt – nicht heruntergeschraubt hat, sondern den Kontoinhaber im Hinblick auf die Vielzahl zwischenzeitlich ergangener Warnhinweise und Berichterstattungen auch insoweit in die Pflicht nahm. Denn (leider) allzu oft klicken Kontoinhaber vollkommen blauäugig auf mehr als auffällige Phishing-Links oder schenken den Angaben ihnen vollkommen unbekannter vermeintlicher Bankmitarbeiter Glauben. Dies, obwohl aufgrund der zwischenzeitlich vielfachen Warnungen in Sicherheitshinweisen wie auch in Medien bei jedem Online-Banking-Nutzer die buchstäblichen „Alarmglocken“ läuten müssen, wenn er von einem ihm unbekannten „Mitarbeiter“ seiner Bank aus irgendeinem vorgeschobenen Anlass angerufen und zur Mitwirkung aufgefordert wird. Fällt ein Kontoinhaber gleichwohl auf eine solche Betrugsmasche herein und ermöglicht durch sein unkritisches Verhalten den Taterfolg, dann hat er hierfür im Verhältnis zu seiner Bank selbst geradezustehen und kann den entstandenen Schaden nicht bei der Bank „abladen“.
Beitragsnummer: 22579