Keine grobfahrlässige Pflichtverletzung des geschädigten Bankkunden bei „Phishing“

– Landgericht Berlin stellt hohe Anforderungen auf –

Unter dem Begriff „Phishing“ (Neologismus von „fishing“, engl. für ‚Angeln‘) versteht man Versuche, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben. Ziel des Betrugs ist es, z. B. an persönliche Daten eines Internet-Benutzers zu gelangen, etwa ihn zur Ausführung einer schädlichen Aktion wie das Einloggen in einen gefälschten / nachgebauten Webauftritt zu bewegen, um die Zugangsdaten wie das Passwort und den Benutzernamen und gegebenenfalls auch einen 2. Faktor für die 2-Faktor-Identifizierung zu erschleichen. In der Folge werden dann beispielsweise Kontoplünderungen begangen.

Das Landgericht Berlin (Urteil vom 13.12.2023 – 10 O 21/23, n. n. rkr., Berufung beim Kam­mergericht Berlin anhängig – 24 U 150/23) hat in einem solchen Fall einem Kläger nahezu € 14.000,00 zu­ge­sprochen, deren Rückerstattung er von der beklagten Bank wegen unautorisierter Zah­lungsvorgänge verlangt hatte. Dabei betonte das Landgericht, dass die Hürden für eine grobfahrlässige Pflichtverletzung bei Preisgabe von Informationen, die sich auf einer Kreditkarte befinden sehr hoch sind und selbst dann nicht vorliegen, wenn der Bank­kunde auf einem Android-gestützten Smartphone kein zusätzliches Antiviren­pro­gramm aufgespielt hat.

Der Sachverhalt

Der Kläger unterhält bei der beklagten Bank ein Girokonto und war zum Online-Banking berechtigt. Im Mai 2022 richtete der Kläger auf seinem Konto das Kreditkarten-App-Verfahren zur Freigabe von 3D Secure Zahlungen ein. Schon wenige Tage später wurden mehrere Zah­lungs­vorgänge mittels der Kreditkartendaten des Klägers autorisiert. Der Kläger bestritt, die Zah­lungsvorgänge autorisiert zu haben. Die Abbuchungen erfolgten, nachdem der Kläger im Rah­men eines ebay-Verkaufsvorgangs über einen Link die auf der Kreditkarte abgebildeten Daten eingab; dazu erklärt der Kläger, er habe die Zahlungen aber weder autorisiert noch sei eine PIN-Abfrage auf seinem Mobilfunkgerät zur Freigabe der Zahlungsabgänge erfolgt. Er habe sogenannte smsTANs nicht an Dritte weitergegeben, auch die PIN nicht Dritten mitgeteilt – vielmehr seien diese ausgespäht worden und das Gerät sei einem „Hackerangriff“ unterlegen. Im Rahmen der Einrichtung der 3D Secure Verfahrensapp müssten die in die App ein­ge­ge­be­nen Daten „gefischt“ worden sein. Ebenso wenig hätte er Authentifizierungsanfragen oder Push-Nachrichten hinsichtlich der streitgegenständlichen Zahlungsvorgänge auf sein Mobil­funk­gerät erhalten. Die beklagte Bank behauptete ihrerseits, dass das Verfahren zur Sich­erung von Transaktionen störungsfrei funktioniere habe und aufgrund der technischen Aus­ge­stal­tung praktisch unüberwindbar sei sowie die streitgegenständlichen Abbuchungen vom End­ge­rät des Klägers aus authentifiziert wurden.

Die Entscheidung des Landgerichts Berlin

Das Landgericht Berlin sprach den vom Kläger geltend gemachten Anspruch vollumfänglich zu. Die Bank trage die Darlegungs- und Beweislast für die Autorisierung der Zahlungs­vor­gänge, wie das Gericht unter Hinweis auf § 675 w BGB sowie Allgemeine Beweislastregeln her­vorhob.

Insbesondere dadurch, dass die Zahlungsaufträge nicht durch das Endgerät des Klägers, sondern durch ein Endgerät in Kasachstan ausgelöst und freigegeben worden waren, kam das Landgericht zu dem Ergebnis, dass die Zahlungsabgänge sehr wahrscheinlich nicht dem Willen des Klägers entsprachen, eine Autorisierung nicht bewiesen sei und der Klageforderung statt­gegeben werden müsse.

Diesem klägerischen Anspruch seien auch keine Schadensersatzansprüche der beklagten Bank nach § 675 v Abs. 3 Nummer 2 BGB entgegenzuhalten, da ein grobpflichtwidriges Ver­hal­ten des Klägers den Zahlungsabgängen nicht vorausgegangen wäre. Denn eine grobe Fahr­lässigkeit liege nur dann vor, wenn die verkehrserforderliche Sorgfalt in besonders schwe­rem Maße verletzt werde, weil schon einfachste, ganz naheliegende Überlegungen nicht an­ge­stellt wurden, und dass nicht beachtet worden ist, was im gegebenen Fall jedem Schuldner ein­leuchten müsste. Die Hürde einer grobfahrlässigen Pflichtverletzung sei also – so das Ge­richt weiter – sehr hoch und im vorliegenden Fall nicht „gerissen“.

Die Preisgabe der auf der Kre­ditkarte abgedruckten Information sei dem Zugriff einer Vielzahl von Personen ausgesetzt, stelle also keine grobfahrlässige Pflichtverletzung dar. Auch dass im Rahmen des Ver­kaufs­vor­gangs ein Link übersandt worden war, welcher das englischsprachige Wort für „Em­pfan­gen“ verkehrt geschrieben auswies, stelle nur ein situativ bedingtes Fehlverhalten, jedoch kein grobpflichtwidriges Fehlverhalten dar. Darüber hinaus sei bei Android-Endgeräten ein Viren­scan­ner standartmäßig installiert – für einen durchschnittlichen Smartphone-Nutzer sei in­so­fern nicht ersichtlich, dass Smartphone-Betriebssysteme die Installation eines zusätzlichen Anti­virenschutzes bedürften. Eine grobfahrlässige Pflichtverletzung scheide auch vor diesem Hin­tergrund aus.

Haben Sie Fragen zum Sachverhalt oder zur Rechtslage?

Dann wenden Sie sich bitte an Herrn Rechtsanwalt Tilmann Schellhas – Fachanwalt für Bank- und Kapitalmarktrecht. Er vertritt in einer Vielzahl von Fällen Bankkunden, die solche Erstattungsansprüche bei „abgefischten“ Daten gegenüber Banken oder Sparkassen geltend machen.