21.11.2024
21.11.2024  
Sie sehen einen Gerichtshammer, der auf verschiedenen Geldscheinen liegt.

Dokument-Nr. 33743

Drucken
ergänzende Informationen

Oberlandesgericht Frankfurt am Main Urteil06.12.2023

Keine Haftung der Bank für vom Kunden grob fahrlässig freigegebenen Überwei­sungs­betrag aufgrund eines Phishing-AngriffsKein Anspruch auf Erstattung des freigegebenen Überwei­sungs­betrag

Gibt ein Kunde mittels PushTAN und Verifizierung über eine Gesichts­er­kennung nach einer Phishing-Nachricht die temporäre Erhöhung seines Überwei­sungs­limits und eine anschließende Überweisung frei, handelt er grob fahrlässig. Die Bank schuldet in diesem Fall nicht die Rückerstattung des überwiesenen Betrags, bestätigte das Oberlan­des­gericht Frankfurt am Main mit Entscheidung das klageabweisende Urteil des Landgerichts.

Der Kläger, Rechtsanwalt und Steuerberater in einer internationalen Sozietät, führt bei der Beklagten ein Girokonto. Online-Transaktionen bestätigt er mit dem sog. PushTAN-Verfahren. Sobald in seinem Online-Banking ein Auftrag erteilt wird, erhält er über die auf seinem Smartphone installierte PushTAN-App eine Benach­rich­tigung und wird zur Freigabe des Auftrags aufgefordert. Zusätzlich hat er eingestellt, dass seine Identität über die Gesichts­er­kennung des Smartphones bestätigt werden muss. Sein Überwei­sungslimit lag bei 10.000 €. Der Kläger erhielt im September 2021 eine SMS mit dem Hinweis, dass sein Konto eingeschränkt worden sei. Es solle sich für ein neues Verfahren anmelden und hierzu einem Weblink folgen, der das Wort „Sparkasse“ enthielt. Die im Absender der SMS genannte Telefonnummer hatte die Beklagte in der Vergangenheit bereits verwendet, um den Kläger über vorrübergehende Sperrungen nach Sicher­heits­vor­fällen zu informieren. Der Kläger folgte dem in der SMS angegebenen Link. Anschließend wurde er von einer männlichen Person angerufen und bestätigte auf Anweisung des Anrufers seinen Angaben nach „etwas“ in der PushTAN-App der Beklagten. Am selben Tag wurde das Konto des Klägers mit einer Überweisung i.H.v. 49.999,99 € belastet und als Empfänger eine männliche Person mit Vor- und Nachnamen angegeben. Mit seiner Klage begehrt der Kläger von der Beklagten die Gutschrift dieses Betrags. Das Landgericht hat die Klage abgewiesen.

Als Anwalt in geschäftlichen Dingen erfahren

Die hiergegen gerichtete Berufung hatte auch vor dem OLG keinen Erfolg. Die Beklagte schulde im Ergebnis nicht die Gutschrift des Betrags, da der Kläger grob fahrlässig seine Pflichten verletzt habe, bestätigte das OLG die landge­richtliche Entscheidung. Für die Limitänderung fordere die Beklagte eine starke Kunde­n­au­then­ti­fi­zierung mit PIN und PushTAN. Gemäß den Aufzeichnungen der Beklagten sei am Tag der Überweisung eine PushTAN-Freigabe für ein temporäres Tageslimit von 50.000 € angefordert worden, die per Gesichts­er­kennung auch erteilt worden sei. Von derselben IP-Adresse aus sei nachfolgend eine PushTAN-Freigabe für die streit­ge­gen­ständliche Überweisung über 49.999,99 € angefordert und ebenfalls per Gesichts­er­kennung erteilt worden. Damit sei der Vortrag des Klägers, nur einmal „etwas“ in seiner PushTAN-App mittels Gesichtskennung bestätigt zu haben, nicht glaubhaft. Aufgrund der beruflichen Qualifikation des Klägers könne unterstellt werden, dass er in geschäftlichen Dingen grundsätzlich erfahren sei. Er habe auch selbst berichtet, Online- und Telefonbanking bei mehreren Instituten zu nutzen und mit den grundlegenden Funktionen von Banking- bzw. TAN-Apps vertraut zu sein. Da die Erinnerung des Klägers an Nebendetails des Ablaufs sehr ungenau gewesen seien, spreche eine sehr hohe Wahrschein­lichkeit dafür, dass auch seine Erinnerung an die Anzahl der von ihm abgegebenen PushTAN-Bestätigungen unzuverlässig sei.

Sicher­heits­merkmale sind vor unbefugten Zugriff zu schützen

Der Kläger habe durch die Bestätigung von PushTANs auf Anforderung des Anrufers hin gegen seine Verpflichtung, Sicher­heits­merkmale vor unbefugten Zugriff zu schützen, verstoßen und einem unbekannten Dritten Zugriff auf ein perso­na­li­siertes Sicher­heits­merkmal gewährt. Dadurch habe er faktisch die Kontrolle über das Authen­ti­fi­zie­rungs­in­strument PushTAN in die Hände des Anrufers gelegt. Die Freigabe einer PushTAN auf telefonischen Zuruf hin begründe den Vorwurf der groben Fahrlässigkeit in objektiver und subjektiver Hinsicht. Bei der Freiga­be­auf­for­derung werde dem Kunden grundsätzlich angezeigt, für welchen konkreten Vorgang – etwa eine Überweisung in konkreter Höhe – die TAN geschaffen wurde. “Beachtet ein Kunde diese deutlichen Hinweise nicht und erteilt die Freigabe, ohne auf die Anzeige zu achten, liegt hierin kein bloß einfach fahrlässiger Pflichtverstoß mehr“, betont das OLG, „Denn bei Nutzung einer App, die explizit der Freigabe von Finanz­trans­ak­tionen dient, muss es im Allgemeinen jedem einleuchten, dass die Anzeige zur Kenntnis zu nehmen und gründlich zu prüfen ist“.

Banken warnen bereits seit Jahren vor Phishing-Nachrichten

Soweit sich der Kläger auf einen atypischen Ablauf in der App berufe, auf die er durch den Klick auf den in der SMS angegebenen Link geraten sei, könne ihm nicht entgangen sein, dass sämtliche Banken seit Jahren vor so genannten Phishing-Nachrichten warnten. Diese erweckten den ersten Eindruck, von einem Zahlungs­diens­tean­bieter zu stammen, führten typischerweise aber zu gefälschten Websites. Dieses kriminelle Phänomen werde seit 2006 öffentlich breit diskutiert. Hier handele es sich offensichtlich um eine derartige Phishing-Nachricht. Dies habe der Kläger auch spätestens nach der Aufforderung, persönliche Sicher­heits­merkmale im Rahmen einer von ihm selbst als „atypisch“ wahrgenommenen Umgebung freizugeben, erkennen müssen. „Spätestens an diesem Punkt hätte die Überlegung ganz nahegelegen, dass er einem Betrugsversuch aufgesessen war.“ Die Entscheidung ist nicht rechtskräftig. Mit der Nicht­zu­las­sungs­be­schwerde hat der Kläger die Zulassung der Revision beim BGH begehrt.

Quelle: Oberlandesgericht Frankfurt am Main, ra-online (pm/ab)

Nicht gefunden, was Sie gesucht haben?

Urteile sind im Originaltext meist sehr umfangreich und kompliziert formuliert. Damit sie auch für Nichtjuristen verständlich werden, fasst urteile.news alle Entscheidungen auf die wesentlichen Kernaussagen zusammen. Wenn Sie den vollständigen Urteilstext benötigen, können Sie diesen beim jeweiligen Gericht anfordern.

Wenn Sie einen Link auf diese Entscheidung setzen möchten, empfehlen wir Ihnen folgende Adresse zu verwenden: https://urteile.news/Urteil33743

Bitte beachten Sie, dass im Gegensatz zum Verlinken für das Kopieren einzelner Inhalte eine explizite Genehmigung der ra-online GmbH erforderlich ist.

Die Redaktion von urteile.news arbeitet mit größter Sorgfalt bei der Zusammenstellung von interessanten Urteilsmeldungen. Dennoch kann keine Gewähr für Richtigkeit und Vollständigkeit der über uns verbreiteten Inhalte gegeben werden. Insbesondere kann urteile.news nicht die Rechtsberatung durch eine Rechtsanwältin oder einen Rechtsanwalt in einem konkreten Fall ersetzen.

Bei technischen Problemen kontaktieren Sie uns bitte über dieses Formular.

VILI