| | |
| LG Lübeck | |
| Urteil vom 03.01.2024 | |
| 3 O 83/23 | |
| Erstattungsansprüche nach einem sogenannten Phishing-Angriff beim Online-Banking | |
| JurPC Web-Dok. 19/2024, Abs. 1 - 33 | |
|
| |
| Leitsatz (der Redaktion): |
| Vorliegend ist ein grob fahrlässiger Verstoß gegen Ziffer 7.3 der hier gegenständlichen Bedingungen zum Online-Banking gegeben, wonach die Freigabe eines Auftrags erst nach Prüfung der Auftragsdaten erfolgen darf. Wenn in der TANApp nicht angezeigt wird, welche Überweisung an wen in welcher Höhe freizugeben ist, hat eine Prüfung der Auftragsdaten vor der Freigabe nicht stattgefunden. Ohne Anzeige der konkreten Auftragsdaten dürfen nach den vorliegenden AGB keinerlei Aufträge freigegeben werden. |
| Tatbestand: | |
| Die Parteien streiten über Erstattungsansprüche nach einem sogenannten Phishing-Angriff beim Online-Banking. | Abs. 1 |
| Der Kläger unterhielt bei der Beklagten ein Girokonto. Die Freischaltung von Zahlungsaufträgen im Online-Banking erfolgte über eine TAN-App auf seinem Smartphone. In den Bedingungen der Beklagten zum Online-Banking (Anlage B3) hießt es unter Zif. 7.3: | Abs. 2 |
| „Prüfung der Auftragsdaten mit von der ...kasse angezeigten Daten | Abs. 3 |
| Die ...kasse zeigt dem Teilnehmer die von ihr empfangenen Auftragsdaten (z. B. Betrag, Kontonummer des Zahlungsempfängers, Wertpapierkennnummer) über das gesondert vereinbarte Gerät des Teilnehmers an (z. B. mittels mobilem Endgerät, Chipkartenlesegerät mit Display). Der Teilnehmer ist verpflichtet, vor der Bestätigung die Übereinstimmung der angezeigten Daten mit den für den Auftrag vorgesehenen Daten zu prüfen. | Abs. 4 |
| Am Abend des 20.06.2022 wollte der Kläger über seinen PC gemeinsam mit seiner Tochter die Internetseite der Beklagten aufrufen. Es erschien eine Webseite (Anlage B6) mit der Aufforderung, sich durch die Eingabe von persönlichen Daten wie seinem Geburtsdatum zu legitimieren. Wegen der weiteren Einzelheiten wird auf die Anlage B6 Bezug genommen. Diese Aufforderung kam dem Kläger seltsam vor. Der Kläger dachte, sein PC könnte womöglich mit einem Virus infiziert sein und wollte zur Sicherheit sein Smartphone benutzen. Mit diesem Gerät rief er die Webseite auf gleichem Wege wie zuvor über den PC auf. Erneut erschien die Webseite wie zuvor mit der Aufforderung, sich durch die Eingabe von persönlichen zu legitimieren. Der Kläger schloss einen Virus sowohl des PCs als auch des Smartphones aus und gab seine Daten auf der Webseite ein. Danach wurde auf der Webseite ein fünfstelliger Zahlencode angezeigt sowie die Mitteilung, dass er gleich angerufen werden würde. Kurze Zeit später, um 21.36 Uhr, wurde der Kläger von einer Frau angerufen, die sich als Mitarbeiterin der Beklagten ausgab. Diese erklärte, der Kläger müsse sich legitimieren und bat den Kläger die TANApp der Beklagten zu öffnen. Das tat der Kläger über sein Smartphone durch Eingabe seiner PIN. Die App öffnete sich und es erschien ein Button mit einem roten Pfeil. Die Anruferin bat den Kläger, den Pfeil herüber zu schieben. Das tat der Kläger. Die Anruferin fragte den Kläger dann, ob er bei seinem Kontostand Interesse an einem Tagesgeldkonto hätte, was dieser bejahte. Zum Test werde sie 15.000 € von seinem Girokonto auf das neue eingerichtete Tageskonto überweisen. Der Kläger stimmte zu, wobei streitig ist, ob auch in der Höhe von 15.000 €. Der Kläger gab einen – der Höhe nach streitigen – Betrag in seiner TANApp frei. Von dem Konto des Klägers wurden insgesamt 6 Überweisungsaufträge zu je 79.000 € erteilt. Da das Girokonto des Klägers über ein Tageslimit verfügte, wurde nur ein Betrag von 14.999,99 € auf ein Fremdkonto überwiesen. Der Kläger bemerkte erst am nächsten Morgen, dass der Betrag auf seinem Konto fehlte und kein Tagesgeldkonto für ihn eingerichtet worden war. Ein Betrag in Höhe von 5.150 € wurden dem Kläger erstattet. Mit Schreiben vom 25.10.2022 verlangte der Klägervertreter die Beklagte erfolglos zur Zahlung des Restbetrages in Höhe von 9.849 € auf. Mit Schreiben vom 17.11.2022 (Anlage K2) erklärte der Beklagtenvertreter die Aufrechnung mit Gegenansprüchen in gleicher Höhe. | Abs. 5 |
| Der Kläger trägt vor, er habe der Überweisung nur in Höhe von 1 € zugestimmt. In der TANApp sei nicht angezeigt worden, welche Überweisung an wen in welcher Höhe freizugeben war. Eine Kontrolle sei ihm daher nicht möglich und wegen der beabsichtigten Überweisung von nur 1 € auch nicht notwendig gewesen. Er habe nichts falsch gemacht. Er sei auf der Webseite der Beklagten bereits öfter aufgefordert worden, persönliche Daten zur Legitimation einzugeben. Auf dem Server der Beklagten müsse ein Virus gewesen sein. Die Beklagte habe zudem gesetzeswidrig keine starke Authentifizierung angeboten. | Abs. 6 |
| Der Kläger beantragt, | Abs. 7 |
| 1. an den Kläger € 9.849,00 nebst Zinsen von 5 % Punkten über dem Basiszinssatz seit dem 03.11.2022, | Abs. 8 |
| 2. an den Kläger vorgerichtliche Rechtsanwaltskosten in Höhe von € 973,66 nebst Zinsen von 5 % Punkten über dem Basiszinssatz seit dem 03.11.2022 | Abs. 9 |
| zu zahlen. | Abs. 10 |
| Die Beklagte beantragt, | Abs. 11 |
| die Klage abzuweisen. | Abs. 12 |
| Die Beklagte trägt vor, der Kläger sei auf eine Phishing-Webseite geraten und habe seine Daten an diese übermittelt. Er habe dann einen Überweisungsbetrag in Höhe von 14.999,99 € autorisiert. Ihm sei in der TANApp die Auftragsart, der Betrag sowie das Empfängerkonto angezeigt worden (Anlagen B2, B9). | Abs. 13 |
| Das Gericht hat den Kläger persönlich angehört. Wegen des Ergebnisses der Anhörung sowie der weiteren Einzelheiten wird auf das Verhandlungsprotokoll vom 14.11.2023 Bezug genommen. Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die gewechselten Schriftsätze nebst Anlagen Bezug genommen. | Abs. 14 |
| Entscheidungsgründe: | |
| Die zulässige Klage ist unbegründet. | Abs. 15 |
| I. | Abs. 16 |
| Dem Kläger stehen die geltend gemachten Ansprüche unter keinem rechtlichen Gesichtspunkt zu. | Abs. 17 |
| 1. | Abs. 18 |
| Ein Erstattungsanspruch ergibt sich insbesondere nicht aus § 675u S. 2 BGB. | Abs. 19 |
| a. | Abs. 20 |
| Nach § 675u S. 2 BGB ist ein Zahlungsdienstleister (z.B. Bank) im Fall eines nicht autorisierten Zahlungsvorgangs verpflichtet, dem Zahler (z.B. Bankkunde) den Zahlungsbetrag zu erstatten. Nicht autorisiert ist ein Zahlungsvorgang, wenn ein Zahlungsauftrag nie erteilt, widerrufen oder nicht wirksam wurde (BeckOGK/M. Zimmermann, 1.11.2023, BGB § 675u Rn. 14). Unstreitig autorisierte der Kläger die Überweisung in Höhe von 1 €. Fraglich ist, ob er auch die weiteren 14.999,99 € autorisierte. Dafür spricht der Ausdruck aus dem System der Beklagten (Anlagen B2 und B9), wonach eine Freigabe in dieser Höhe über die TAN-App des Klägers erfolgte. | Abs. 21 |
| b. | Abs. 22 |
| Diese Frage kann jedoch offen bleiben. Denn der Anspruch ist jedenfalls durch Aufrechnung erloschen. | Abs. 23 |
| aa. | Abs. 24 |
| Nach § 675v Abs. 3 Nr. 2 lit. b BGB ist der Zahler bei nicht autorisierten Zahlungsvorgängen verpflichtet, dem Zahlungsdienstleister den dadurch entstandenen Schaden zu ersetzen, wenn der Zahler den Schaden durch vorsätzliche oder grob fahrlässige Verletzung oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments herbeigeführt hat. Grob fahrlässig verhandelt, wer außer Acht lässt, was sich in der konkreten Situation jedem hätte aufdrängen müssen. Diese Voraussetzungen liegen vor. Der Kläger hat grob fahrlässig gegen Ziffer 7.3 der Bedingungen zum Online-Banking (Anlage B3) verstoßen, wonach die Freigabe eines Auftrags erst nach Prüfung der Auftragsdaten erfolgen darf. | Abs. 25 |
| Der Kläger trägt selbst vor, in der TANApp sei nicht angezeigt worden, welche Überweisung an wen in welcher Höhe freizugeben war. Damit hat der Kläger die Auftragsdaten vor der Freigabe nicht überprüft. Ohne Anzeige der konkreten Auftragsdaten hätte der Kläger keinerlei Aufträge freigeben dürfen. | Abs. 26 |
| Der Kläger handelte auch grob fahrlässig. Dabei ist unerheblich, welchen Betrag der Kläger freizugeben gedachte. Die Gefahr bei der Freigabe auch von nur 1 € hätte sich in der konkreten Situation jedem aufdrängen müssen. Denn es bestanden mehrere deutliche Warnhinweise, die dem Kläger nach eigenem Vortrag auch aufgefallen sind, die er jedoch ignoriert hat. So entsprach zunächst die vom Kläger aufgerufene Webseite erkennbar nicht der Webseite der Beklagten. Unter dem Schriftzug der Beklagten heißt es „... ...kasse“ und die URL lautet „https://….html“. Der Kläger hat die Unstimmigkeiten auch erkannt, weshalb er dann statt seines PCs seine Smartphone nutzte. Allein auf die Nutzung eines anderen Gerätes durfte sich der Kläger aber nicht verlassen, insbesondere nicht bei Aufruf der Webseite auf demselben Wege wie zuvor. Ein weiterer deutlicher Warnhinweis war der Anruf zur spätabendlichen Stunde um 21.36 Uhr. Ein Anruf um diese Uhrzeit verpflichtet zu besonderer Vorsicht auch im Falle von veränderten Arbeitszeiten auf Grund der Folgen des Coronavirus. Ebenso deutlich war der Warnhinweis nach dem Vorschlag der Anruferin, bei dem Kontostand jetzt ein Tagesgeldkonto einzurichten. Mit der dann erfolgten Erklärung, zum Test müsse ein bestimmter Betrag überwiesen werden, den der Kläger freigeben müsse, hätte sich spätestens jetzt jedem der Verdacht eines Betruges aufdrängen müssen. Und zwar auch dann, wenn nur ein Betrag von 1 € in Rede stand. Der Kläger hatte keinerlei Unterlagen zu dem angeblich eingerichteten Tagesgeldkonto. Die Gefahr des Geldverlusts bei Freigabe der Überweisung ohne vorherige Kontrolle der Auftragsdaten hätte sich dem Kläger aufdrängen müssen, erst recht bei Erteilung des Überweisungsauftrags durch Dritte. | Abs. 27 |
| bb. | Abs. 28 |
| Der Schadensersatzanspruch der Beklagten ist auch nicht nach § 675v Abs. 4 BGB ausgeschlossen. Entgegen der Ansicht des Klägers verlangte die Beklagte eine starke Kundenauthentifizierung im Sinne des § 1 Abs. 24 ZAG. Bereits aus dem schriftsätzlichen Vortrag des Klägers sowie seiner persönlichen Anhörung ergibt sich, dass die Beklagte zur Anmeldung und für den Zahlungsauftrag die sogenannte Zwei-Faktor-Authentifizierung verlangte. Danach erfolgt die Identifizierung durch zwei voneinander unabhängige Faktoren der Kategorien Wissen, Besitz, Inhärenz (§ 1 Abs. 24 ZAG). Der Kläger trägt vor, er habe seine Kennung und sein Passwort eingeben müssen (Kriterium Wissen) und sich danach durch Freigabe auf der TANApp seines Smartphones (Kategorie Besitz) legitimieren und den Zahlungsauftrag freigeben müssen. | Abs. 29 |
| 2. | Abs. 30 |
| Mangels Hauptanspruchs besteht weder Anspruch auf Zinsen noch auf vorgerichtliche Rechtsanwaltskosten. | Abs. 31 |
| II. | Abs. 32 |
| Die prozessualen Nebenentscheidungen beruhen auf §§ 91 Abs. 1, 709 ZPO. | Abs. 33 |
|
| |
| (online seit: 06.02.2024) | |
| Zitiervorschlag: Gericht, Datum, Aktenzeichen, JurPC Web-Dok, Abs. | |
