Online Banking Betrug: Rechtliche Aspekte Mitverschulden und grobe Fahrlässigkeit

Fachliche Infos: Voraussetzungen für Erstattungsansprüche und Haftungsfragen

Wer im Falle eines Online Banking Betruges für den Schaden aufzukommen hat (Kunde oder Bank), wird nach der folgenden Systematik geprüft:

1. 1. Steht dem betrogenen Bankkunden gegen seine Bank ein Erstattungsanspruch nach § 675 u BGB zu?
   2. Steht der Bank im Gegenzug ein Schadensersatzanspruch nach § 675 v BGB zu, mit welchem die Bank gegen den Erstattungsanspruch des Kunden aufrechnen könnte?

Online Banking-Betrug: Erstattungsanspruch nach § 675 u BGB für den Bankkunden

Ist dem Kontoinhaber ein Schaden im Rahmen eines Online Banking Betrugs entstanden, kommt für ihn ein Erstattungsanspruch gemäß § 675 u BGB in Betracht. Danach ist die Bank verpflichtet, dem Kontoinhaber den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.

Anspruchsvoraussetzung: nicht autorisierte Zahlungsvorgang. Wann liegt ein solcher vor?

Die wesentliche Voraussetzung für einen Erstattungsanspruch nach § 675 u BGB ist das Vorliegen eines nicht autorisierten Zahlungsvorganges. Die Frage, ob die Zahlung autorisiert war oder nicht, kann regelmäßig zum ersten Streitpunkt zwischen Bankkunden und Bank werden. Die Bank wird behaupten wollen, dass die Zahlung vom Zahler autorisiert war. Dann wäre ein Erstattungsanspruch des Kunden ausgeschlossen.

Eine Zahlung ist dann nicht autorisiert, wenn sie ohne eine wirksame Zustimmung des Zahlers ausgeführt wurde. Die Zustimmung kann auf unterschiedliche Weise erteilt werden. Insbesondere kann die Zustimmung mittels eines bestimmten Zahlungsinstruments erteilt werden.

Unter einem Zahlungsinstrument ist jedes Instrument oder Verfahren zu verstehen, das zur Erteilung eines Zahlungsauftrages verwendet wird. Hierzu gehören die gängigen Verfahren Online Banking mit PIN (persönliche Identifikationsnummer) und TAN (Transaktionsnummer), Nutzung einer Zahlungskarte oder Smartphone mit PIN, Telefonbanking mit Kennwort.

Beim Online Banking fehlt z. B. die Autorisierung, wenn die Transaktionsdaten nicht vom Zahler für die betreffende Zahlung verwendet wurden. Dies ist bei den Online Banking Betrugsfällen in der Regel der Fall. Streitig kann die Frage der Autorisierung z. B. in den Fällen werden, in denen der Kunde seine TAN bei einem Anruf an Dritte weitergegeben hat. In der Weitergabe könnte eine Autorisierung gesehen werden.

Wer muss beweisen, dass der Zahlungsvorgang autorisiert/nicht autorisiert war?

Ist die Autorisierung streitig, muss grundsätzlich die Bank nach § 675 w BGB nachweisen, dass für die Ausführung der Zahlung eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet und verbucht wurde.

Unter Authentifizierung ist ein Verfahren zu verstehen, mit dessen Hilfe die Bank die Identität des Bankkunden oder die berechtigte Verwendung des Zahlungsinstrumentes und die Verwendung der persönlichen Sicherheitsmerkmale des Nutzers überprüfen kann. Dieser Nachweis kann durch technische Aufzeichnungen erfolgen.

Schadensersatzanspruch der Bank: Grobe Fahrlässigkeit und Mitverschulden des Kunden beim Online Banking Betrug

Das Thema Mitverschulden ist für den Bankkunden, der Opfer eines Online Banking Betrugs geworden ist, von entscheidender Bedeutung.

Selbst wenn dem Kunden ein Erstattungsanspruch nach § 675 u BGB zusteht, kann ihm der Anspruch nämlich wegen eines eventuellen Mitverschuldens noch aus der Hand geschlagen werden. Ein Mitverschulden des Kunden kann nämlich zu einem Schadensersatzanspruch nach § 675 v BGB der Bank gegen den Kunden führen. Mit einem solchen Schadensersatzanspruch könnte die Bank gegenüber dem Erstattungsanspruch des Kunden die Aufrechnung erklären.

Mitverschulden des Kunden: Grobe Fahrlässigkeit und Auswirkungen

Nach § 675 v BGB steht der Bank gegen den Kunden dann ein Schadensersatzanspruch zu, wenn die nicht autorisierte Zahlung dadurch verursacht wurde, dass der Kunde sich vorsätzlich oder grob fahrlässig verhalten hat.

Hat er grobfahrlässig gegen Pflichten aus § 675 l BGB oder gegen die Allgemeinen Geschäftsbedingungen für das Online Banking verstoßen, muss er der Bank den daraus entstandenen Schaden ersetzen. Rechnet die Bank also ihren Schadenersatzanspruch gegen den Erstattungsanspruch des Kunden auf, kann der Kunde nichts gegen die Bank geltend machen. Er bleibt damit auf seinem Schaden sitzen.

Der BGH legt zur Beurteilung, ob das Verhalten des Kunden grob fahrlässig war, einen strengen Maßstab an. Grob fahrlässig ist danach ein Verstoß gegen die verkehrsübliche Sorgfalt in besonders schwerem Maße.

Pflichten des Bankkunden aus § 675 l BGB

Der Bankkunde ist nach § 675 l BGB verpflichtet, sowohl das Zahlungsinstrument als auch die personalisierten Sicherheitsmerkmale vor dem unbefugten Zugriff durch Dritte schützen.

Außerdem besteht für den Zahlungsdienstnutzer die Verpflichtung, auf wahrnehmbare Abweichungen von den regulären Abläufen bei der Erteilung von Zahlungsaufträgen zu achten und im Falle derartiger Abweichungen den beabsichtigten Vorgang abzubrechen bzw. den Zahlungsdienstleister darüber zu informieren.

Schutz vor unberechtigtem Zugriff

Der Zahlungsdienstnutzer ist verpflichtet, die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen.

Personalisierten Sicherheitsmerkmale sind Merkmale, die die Bank ihrem Kunden zum Zwecke der Authentifizierung bereitstellt. Dazu gehören gehören z. B. Transaktionsnummern (TAN) oder Freischaltcodes zur Nutzung des Online Bankings oder einer Banking-App.

Zu dieser Fallgruppe gehören alle Betrugsfälle, in denen der oder die Betrüger in den Besitz der personalisierten Sicherheitsmerkmale gekommen sind. Dies kann z. B. durch eine telefonische Weitergabe der PIN oder TAN oder durch eine Eingabe auf einer gefälschten Homepage geschehen sein.

Das Gericht hat für den jeweiligen Einzelfall zu entscheiden, ob das Verhalten des Zahlungsdienstnutzer grob fahrlässig war. Dabei muss es im Rahmen einer Gesamtschau alle Umstände berücksichtigen. Nach ständiger Rechtsprechung handelt grob fahrlässig, wer die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt, einfachste und naheliegende Überlegungen nicht anstellt und in der konkreten Situation das nicht beachtet, was sich jedem aufdrängt. Von grober Fahrlässigkeit ist also auszugehen, wenn es sich geradezu aufdrängen musste, dass es sich nicht um einen regulären Vorgang handelt (Dies entspricht der ständigen Rechtsprechung wie z.B. BGH v. 13.12.2004, Az. II ZR 17/03).

In Bezug auf die Weitergabe von personalisierten Sicherheitsmerkmalen in einem Telefonat an einen unbekannten Dritten liegt nach ständiger Rechtsprechung stets ein Sorgfaltspflichtverstoß vor und der Vorwurf einer groben Fahrlässigkeit nahe (vgl. OLG Köln v. 20.10.2021, Az. 13 U 18/21).

Pflichten aus den Allgemeinen Bedingungen für das Online Banking

Für den Zahlungsdienstnutzer bestehen zudem u. a. die folgenden Verpflichtungen, bei deren Nichteinhaltung der Vorwurf der groben Fahrlässigkeit und damit die Annahme eines Verschuldens der Kunden drohen kann:

• Warnhinweise der Bank sind zu beachten
• die von der Bank zur Verfügung gestellten updates sind zu installieren
• Einsatz einer Virensoftware, um das Einspielen einer Maleware zu verhindern 

Mitverschulden der Bank

Letztlich bleibt noch die Frage zu klären, ob im konkreten Einzelfall wiederum auch der Bank ein Mitverschulden zur Last gelegt werden kann. Dies kommt in Betracht, wenn es dem angebotenen Online Banking an der erforderlichen Systemsicherheit mangelt. Auch ist ein Mitverschulden der Bank denkbar, wenn der Kunde seiner Bank zuvor einen Hinweis auf Unregelmäßigkeiten bei seinem Online Banking gegeben hat und die Bank trotz dessen eine Abbuchung nicht verhindert hat.

Entscheidungssammlung: Mitverschulden und grobe Fahrlässigkeit

Nachfolgend haben wir Gerichtsentscheidungen zum Thema Mitverschulden und grob fahrlässiges Verhalten einiger Online Banking Betrugsfälle zusammengetragen.

Fallbeispiele: Gerichtsentscheidungen, in denen grobe Fahrlässigkeit des Kunden bejaht wurde

Phishing Betrugsfall, Weitergabe Freischaltcode:

Bankkunde wird Phishing Opfer und gibt in einem Telefonat mit einem vermeintlichen Bankmitarbeiter den Freischaltcode für die SecureGo App weiter. Gericht sieht im Verhalten des Bankkunden grobe Fahrlässigkeit. Er hat gegen seine Pflicht aus § 675 l BGB (Schutz vor unberechtigtem Zugriff) verstoßen, indem er am Telefon das personalisierte Sicherheitsmerkmal in Form des Freischaltcodes weitergegeben hat. Es könne aufgrund zahlreicher Medienberichte als allgemeines Wissen vorausgesetzt werden, dass Kunden durch betrügerische Anrufe von vermeintlichen Bankmitarbeitern zur Herausgabe relevanter Zugangsdaten veranlasst werden. Der bestehende Erstattungsanspruch des Kunden wird somit mit dem Schadensersatzanspruch der Bank aufgerechnet. Der Bankkunde ist auf seinem Schaden „sitzen geblieben“ (OLG München Beschluss v. 4.9.2023 – Az.: 19 U 1508/23).

Weitergabe TAN:

Zahlungsdienstnutzer erhält von einem vermeintlichen Bankmitarbeiter die telefonische Aufforderung, eine TAN weiterzugeben, um eine angeblich auffällige Buchung zu stoppen. Der Betrugsfall hätte sich dem Geschädigten nach Ansicht des Gerichtes aufdrängen müssen (LG Heilbronn, Urt. v. 16.5.2023 – Bm 6 O 10/23)

Eingabe mehrerer TAN’S:

Gericht sieht es als grob fahrlässig an, wenn der Zahlungsdienstnutzer nach Aufforderung bewusst vier TAN’s zur Bestätigung der PIN eingibt, da eine solche Aufforderung im Online Banking völlig unüblich ist (LG Berlin, Urteil v. 11.8.2009 – 37 O 4/09).

Verbindung mit gefälschter Internetseite (Phishing):

Grob fahrlässig ist es nach Auffassung des Gerichtes, wenn sich der Zahlungsdienstnutzer mit einer erkennbar gefälschten Internetseite verbinden lässt bzw. dort seine Daten eingibt. „Einem durchschnittlichen Verwender der Telefon- und Online-Banking-Funktion müsse bekannt sein, dass im Internet Kriminelle versuchen, mittels der Versendung von E-Mails an sensible Daten zu gelangen.“ (OLG Hamm, Beschluss v. 16.3.2015 – I-31 U 31/15)

Ebenso entschied das Landgericht Lübeck (LG Lübeck v. 3.1.2024 – 3 O 83/23) zu Lasten des Zahlungsdienstnutzers: Auffällige Internetseite und spätabendlicher Anruf einer Bankmitarbeiterin hätten Misstrauen wecken müssen.

Fehlende Überprüfung der Überweisungsangaben:

Als grob fahrlässig wird angesehen, wenn der Zahler vor der Bestätigung des Zahlungsauftrags die Übereinstimmung der ihm auf dem Chipkarten-Lesegerät (TAN-Generator) angezeigten Daten (IBAN des Zahlungsempfängers und Überweisungsbetrag) mit den für den Auftrag vorgesehenen Daten nicht überprüft hat (OLG Dresden, Urteil v. 13.10.2022 – 8 U 760/22).

Fallbeispiele: Gerichtsentscheidungen, in denen grobe Fahrlässigkeit des Kunden verneint wurde

Keine grobe Fahrlässigkeit beim ID Spoofing

Vermeintlicher Mitarbeiter der Bank kontaktiert den Zahlungsdienstnutzer telefonisch unter Anzeige der Rufnummer der Bank (sog. Call-ID Spoofings) und teilte diesem mit, dass dessen Konto und dessen Karte aufgrund aktueller Betrugsvorfälle vorsorglich gesperrt wurde. Die Entsperrung könne er nach entsprechender Freigabe über die pushTAN App vornehmen. Der Freigabetext lautete „Registrierung Karte“; tatsächlich wurde jedoch Apple Pay auf dem Smartphone des Täters eingerichtet, der innerhalb von zwei Tagen mehrere Zahlungen per Apple Pay tätigte.

Das Gericht kommt zu dem Ergebnis, dass eine grobe Fahrlässigkeit des Zahlungsdienstnutzers aufgrund der Freigabe in der pushTAN App nicht vorliegt. Die Bezeichnung „Registrierung Karte“ sei derart weit gefasst, dass dies für den Bankkunden – vor allem in der Überrumpelungssituation – auch bei sorgfältiger Prüfung des Hinweises überhaupt nicht erkennbar war, dass es um die Einrichtung eines Zahlungssystems auf einem mobilen Endgerät des Herstellers Apple Inc. und damit um die Freigabe einer Möglichkeit zu Kontoverfügungen geht, die nur von der Verfügungsgewalt über dieses (fremde) mobile Endgerät abhängt. (LG Köln, Urt. v. 8.1.2024 – 22 O 43/23)

Weiteres Urteil zur unwissentlichen Einrichtung des Apple-Pay-Bezahlverfahrens

Der oder die Betrüger richteten das Apple-Pay-Bezahlverfahren auf einem fremden Smartphone ein, das nicht dem Zahlungsdienstnutzer gehörte. Es kam zu 122 unrechtmäßigen Kontobelastungen. Nach Ansicht des Gerichts fehlte auf Seiten des Bankkunden das erforderliche Erklärungsbewusstsein, dass er das Apple-Pay-Bezahlverfahren auf einem fremden IPhone freigab. Eine häufigere Kontrollobliegenheit des Klägers als etwa alle zwei Wochen sieht das Gericht nicht, so dass den Zahlungsdienstnutzer kein Verschulden trifft. Schließlich wirkt sich für die Bank nachteilig aus, dass sie keine Gerätekennung einsetzte. (LG Karlsruhe v. 23.11.2023, 2 O 312/22, nicht rechtskräftig)

Verbindung mit ungesicherter Internetadresse

Übersieht der Zahlungsdienstnutzer, dass die vermeintliche Internetseite nicht mit https.:// beginnt, liegt kein Fall der groben Fahrlässigkeit vor. (OLG Dresden, Urt. v. 13.10.2022 – 8 U 760/22)

Unsere aktuellen Fälle aus dem Bereich Online Banking Betrug: