AssCompact suche
Home
Steuern & Recht
16. Februar 2024
Phishing-Angriff auf Girokonto: Wann haftet die Bank nicht?
Phishing-Angriff auf Girokonto: Wann haftet die Bank nicht?

Phishing-Angriff auf Girokonto: Wann haftet die Bank nicht?

Ein Kunde gibt mittels PushTAN und Gesichtserkennung nach einer Phishing-Nachricht die temporäre Erhöhung seines Überweisungslimits und eine anschließende Überweisung frei. Schuldet die Bank die Rückerstattung des überwiesenen Betrags?

Viele Menschen nutzen Online-Banking zur Erledigung der Bankgeschäfte des Alltags. Es ist bequem und schnell, denn Bankgeschäfte können jederzeit und überall durchgeführt werden, Transaktionen und Überweisungen können in Echtzeit erfolgen. Die Schattenseite: eine Phishing-Attacke, bei der Betrüger gefälschte Websites oder Nachrichten nutzen, um sensible Daten wie Passwörter oder Kontoinformationen zu stehlen. Und die Hoffnung, dass in einem solchen Fall die Bank für den entstandenen Schaden aufkommt, ist trügerisch. Auch die Kunden tragen bei der Nutzung von Online-Banking-Services eine hohe Verantwortung, wie ein aktuelles Urteil des Oberlandesgericht Frankfurt (OLG) deutlich macht.

Das war geschehen

Der Kläger, ein Rechtsanwalt und Steuerberater, nutzte für sein Girokonto bei der Beklagten das PushTAN-Verfahren für Online-Transaktionen. Dabei erhält er über eine Smartphone-App Benachrichtigungen zur Auftragsfreigabe, die zusätzlich durch Gesichtserkennung bestätigt werden müssen. Sein Überweisungslimit war auf 10.000 Euro festgesetzt.

Im September 2021 erhielt der Kläger eine SMS, die vorgab, von seiner Bank zu sein und ihn aufforderte, einem Link zu folgen, um sein angeblich eingeschränktes Konto zu reaktivieren. Die verwendete Telefonnummer war dem Kläger von früheren legitimen Benachrichtigungen seiner Bank bekannt. Nachdem er dem Link gefolgt war, wurde er von einer Person kontaktiert, die ihn veranlasste, in seiner PushTAN-App Aktionen durchzuführen. Kurz darauf wurde eine Überweisung in Höhe von 49.999,99 Euro von seinem Konto getätigt – das Geld war weg. Mit seiner Klage verlangte der Kläger von seiner Bank die Gutschrift des Betrags.

So lautet das OLG-Urteil

Doch das OLG hat entschieden, dass die betroffene Bank nicht zur Rückerstattung verpflichtet ist, da der Kunde seine Sicherheitspflichten in grob fahrlässigem Maße verletzt hatte. Zum einen hielten die Richter die Ausführungen des Klägers, nur einmal „etwas“ in seiner PushTAN-App mittels Gesichtskennung bestätigt zu haben, nicht glaubhaft. Aufgrund der beruflichen Qualifikation des Klägers könne nämlich unterstellt werden, dass er in geschäftlichen Dingen grundsätzlich erfahren sei. Er habe auch selbst berichtet, Online-und Telefonbanking bei mehreren Instituten zu nutzen und mit den grundlegenden Funktionen von Banking- bzw. TAN-Apps vertraut zu sein.

Zum anderen habe der Kläger durch die Bestätigung von PushTANs auf Anforderung des Anrufers hin gegen seine Verpflichtung, Sicherheitsmerkmale vor unbefugten Zugriff zu schützen, verstoßen und einem unbekannten Dritten Zugriff auf ein personalisiertes Sicherheitsmerkmal gewährt. Dadurch habe er faktisch die Kontrolle über das Authentifizierungsinstrument PushTAN in die Hände des Anrufers gelegt. „Beachtet ein Kunde diese deutlichen Hinweise nicht und erteilt die Freigabe, ohne auf die Anzeige zu achten, liegt hierin kein bloß einfach fahrlässiger Pflichtverstoß mehr“, betont das OLG. „Denn bei Nutzung einer App, die explizit der Freigabe von Finanztransaktionen dient, muss es im Allgemeinen jedem einleuchten, dass die Anzeige zur Kenntnis zu nehmen und gründlich zu prüfen ist“. (as)

OLG Frankfurt am Main, Urteil vom 06.12.2023 – Az. 3 U 3/23

Bild: © weerapat1003 – stock.adobe.com