Nach Weitergabe von SMS-TAN bekommt Bank-Kundin keinen SchadensersatzKein Anspruch auf Rückzahlung abgebuchter Kredit­kar­ten­beträge bei Phishing bei Reisebuchung

Der Ehemann der Münchner Klägerin wollte am Samstag, den 06.01.2024 für seine Ehefrau und sich eine Reise im Internet buchen. Hierzu gab er auf einer Homepage „Check24“ die Daten der Kreditkarte seiner Ehefrau ein. Kurz darauf erschien eine Mitteilung, dass ein Betrag in Höhe von 318,99 € vorgemerkt sei, ehe weitere Mitteilungen über vergleichbare Vormerkungen erschienen. Die Münchnerin veranlasste noch am selben Abend telefonisch die Sperrung der Kreditkarte. Am Montag, den 08.01.2024 sind sechs unberechtigte Abbuchungen zu je 318,99 € für Giftcards vom Konto der Klägerin erfolgt, insgesamt 1.953,29 €.

Zur Autorisierung der Transaktionen fand das Mastercard 3D-Secure-Verfahren Anwendung. Zur Aktivierung dieses Verfahrens auf einem weiteren Gerät, übersandte die beklagte Bank am 06.01.2024 eine SMS-TAN an die von der Klägerin bei der Beklagten hinterlegte Mobilfunknummer. Die an die Klägerin versandte SMS-TAN wurde dann auf dem weiteren mobilen Endgerät, auf dem auch die Banking-App freigeschaltet wurde, am 06.01.2024 eingegeben und damit das Secure-Verfahren aktiviert.

Die Münchnerin behauptete, dass sie diese Abbuchungen nicht autorisiert habe. Bei der Buchung sei sie nicht nach PIN oder Passwort gefragt worden, sie habe auch nirgendwo eine SMS-Tan eingegeben. Es sei nicht erkannt worden, dass es sich möglicherweise um eine Fake-Website handelte.

Die beklagte Bank ging davon aus, dass die Münchnerin die SMS-Tan an einen Dritten weitergegeben haben muss, da eine Freigabe der Buchungen anders technisch nicht möglich gewesen sei und verweigerte die Zahlung. Die Münchnerin verklagte die Bank daher vor dem Amtsgericht München auf Rückzahlung der 1.953,29 €.

Das Amtsgericht München wies die Klage mit Urteil vom 08.01.2025 ab. Das Gericht ging zwar davon aus, dass die Abbuchungen nicht von der Klägerin autorisiert waren, sondern von Dritten getätigt wurden. Aufgrund der Beweisaufnahme war das Gericht jedoch davon überzeugt, dass die Klägerin die SMS-Tan grob fahrlässig an Dritte weitergegeben haben muss, weshalb ein Schaden­s­er­satz­an­spruch der Bank gegen die Klägerin in gleicher Höhe bestehe, mit dem die Bank aufgerechnet habe. Insoweit führte es u.a. aus:

„Der Vortrag der Beklagten, dass diese in ihren Systemen feststellen konnte, dass das Mastercard 3D-Secure Verfahren per Banking App für die Kreditkarte der Klägerin am 06.01.2024 um 13.30 Uhr aktiviert wurde, und zur Aktivierung dieses Verfahrens auf dem neuen Gerät eine SMS-TAN an die im Vertrag hinterlegte Mobilfunknummer der Klägerin […] versandt wurde, wurde durch Inaugen­scheinnahme des Mobiltelefons der Klägerin bestätigt. Dort befindet sich […] eine SMS vom 06.01.2024 13.29 Uhr mit dem Inhalt: „[…] ist Ihre TAN für die Aktivierung von Mastercard Identity Check vom 06.01.2024 13.44 Uhr.“ Der Eingang der SMS um 3.29 Uhr war im eingesehenen Nachrich­ten­verlauf […] um 13.29 Uhr dokumentiert und wird auch durch das als […] vorgelegte IT-Protokoll belegt. Der Vortrag der Klägerin, keine SMS-TAN erhalten zu haben und dass ihr Mobiltelefon nicht in die Freigabe involviert war, erwies sich damit als widerlegt.

Die Beklagte hat unbestritten vorgetragen, dass aufgrund der manuellen Eingabe einer an die Mobilfunknummer der Klägerin versandten SMS-Tan ein Fremdzugriff technisch ausgeschlossen ist. Es wurde ein neues Gerät im Online-Banking der Klägerin als Freiga­be­in­strument im Rahmen des 2-Faktor-Authen­ti­fi­zie­rungs­ver­fahrens hinterlegt. Hierzu war – technisch zwingend – die Eingabe der SMS-Tan erforderlich. […] Das Gericht ist daher davon überzeugt, dass die Klägerin durch Preisgabe der SMS-Tan Dritten eine Registrierung eines Geräts ermöglicht hat, wobei die Preisgabe persönlicher Sicher­heits­merkmale an Dritte gemäß den vertraglichen Bestimmungen untersagt war. […]

Das Verhalten der Klägerin bewertet das Gericht als grob fahrlässig. Es ist eine Sache, wenn man seine Kredit­kar­tendaten offenbart. Diese werden bei jeder Verwendung offenbart und können auch von der Karte abgelesen werden. […] Die Weitergabe eines im Rahmen einer Zwei-Faktor-Autorisierung erhaltenden Zugangscodes kann nicht damit gleichgesetzt werden. Mit dieser Weitergabe hilft der Nutzer (Kläger) die Sicher­heits­a­r­chi­tektur grundlegend auszuhebeln. Es muss jedem verständigen Nutzer solcher Kreditkarten klar sein, welches Risiko er mit der Weitergabe derartiger Daten schafft. Die Klägerin mag dies nicht bewusst getan haben und es mag […] auch nicht erinnerlich sein. Indessen lässt sich der Vorgang plausibel nicht anders erklären.“