Keine Haftung der Bank bei Pishing-Angriff? Dazu hat das Oberlandesgericht Frankfurt am Main mit Urteil vom 06.12.2023, Az. 3 U 3/23, entschieden. Und zwar hafte die Bank nicht für einen aufgrund Phishing-Angriffs vom Kunden grob fahrlässig freigegebenen Überweisungsbetrag.
Gebe ein Kunde mittels PushTAN und Verifizierung über eine Gesichtserkennung nach einer Phishing-Nachricht die temporäre Erhöhung seines Überweisungslimits und eine anschließende Überweisung frei, handele er grob fahrlässig. In einem solchen Fall schulde die Bank nicht die Rückerstattung des überwiesenen Betrags, so das OLG Frankfurt am Main.
Was ist passiert?
Der Sachverhalt
Keine Haftung der Bank bei Pishing-Angriff? Zu dieser Frage hatte das Oberlandesgericht Frankfurt am Main über folgenden Sachverhalt zu entscheiden:
Der Kläger ist Rechtsanwalt und Steuerberater in einer internationalen Sozietät. Bei der Beklagten führt er ein Girokonto. Online-Transaktionen bestätigt er mit dem sog. PushTAN-Verfahren. Und zwar erhält er über die auf seinem Smartphone installierte PushTAN-App eine Benachrichtigung und wird zur Freigabe des Auftrags aufgefordert, wenn er in seinem Online-Banking einen Auftrag erteilt. Aufgrund einer zusätzlichen Einstellung muss er seine Identität über die Gesichtserkennung des Smartphones bestätigen. Sein Überweisungslimit lag bei 10.000,00 €.
Im September 2021 erhielt der Kläger einen Hinweis per SMS, dass sein Konto eingeschränkt worden sei. Und zwar solle er sich für ein neues Verfahren anmelden und hierzu einem Weblink folgen, der das Wort „Sparkasse“ enthielt. Im Absender der SMS war eine Telefonnummer genannt, die die Beklagte in der Vergangenheit bereits zur Information des Klägers über vorrübergehende Sperrungen nach Sicherheitsvorfällen verwendet hatte. Dem in der SMS angegebenen Link folgte der Kläger dann. Und zwar erhielt daraufhin einen Anruf von einer männlichen Person und bestätigte auf Anweisung des Anrufers seinen Angaben nach „etwas“ in der PushTAN-App der Beklagten. Das Konto des Klägers wurde dann noch am selben Tag mit einer Überweisung i.H.v. 49.999,99 € belastet. Als Empfänger wurde eine männliche Person mit Vor- und Nachnamen angegeben.
Die Vorinstanz
Der Kläger reichte schließlich Klage beim Landgericht Frankfurt gegen die Beklagte ein und forderte von ihr die Gutschrift des Betrages i.H.v. 49.999,99 €, mit dem sein Konto belastet worden war. Keine Haftung der Bank bei Pishing-Angriff? Das Landgericht Frankfurt am Main bestätigte dies im vorliegenden Fall mit Urteil vom 09.12.2022, Az. 2-25 O 41/22, und hat die Klage abgewiesen.
Keine Haftung der Bank bei Pishing-Angriff? Dazu das OLG Frankfurt
Die Entscheidung
Die vom Kläger gegen das klageabweisende Urteil eingelegte Berufung hatte auch vor dem OLG keinen Erfolg. Die Beklagte schulde im Ergebnis nicht die Gutschrift des Betrags, da der Kläger grob fahrlässig seine Pflichten verletzt habe, so das OLG.
PushTAN-Freigabe für Limiterhöhung und Überweisung
Und zwar fordere die Beklagte für die Limitänderung eine starke Kundenauthentifizierung mit PIN und PushTAN, so das OLG.
Am Tag der Überweisung sei gemäß den Aufzeichnungen der Beklagten eine PushTAN-Freigabe für ein temporäres Tageslimit von 50.000 € angefordert worden. Diese PushTAN-Freigabe sei per Gesichtserkennung auch erteilt worden.
Im Anschluss daran sei von derselben IP-Adresse aus eine PushTAN-Freigabe für die streitgegenständliche Überweisung über 49.999,99 € angefordert und ebenfalls per Gesichtserkennung erteilt worden.
Keine Haftung der Bank bei Pishing-Angriff? Vortrag des Klägers nicht glaubhaft
Und zwar sei damit der Vortrag des Klägers, nicht glaubhaft, wenn er nur einmal „etwas“ in seiner PushTAN-App mittels Gesichtskennung bestätigt haben will. Die grundsätzliche Erfahrung des Klägers in geschäftlichen Dingen könne aufgrund seiner beruflichen Qualifikation unterstellt werden. Und zwar habe er auch selbst berichtet, Online-und Telefonbanking bei mehreren Instituten zu nutzen und mit den grundlegenden Funktionen von Banking- bzw. TAN-Apps vertraut zu sein. Es spreche eine sehr hohe Wahrscheinlichkeit dafür, dass die Erinnerung des Klägers an die Anzahl der von ihm abgegebenen PushTAN-Bestätigungen unzuverlässig sei, weil eben auch seine Erinnerung an Nebendetails des Ablaufs sehr ungenau gewesen seien, so das OLG.
Keine Haftung der Bank bei Pishing-Angriff? Grob fahrlässiges Verhalten des Klägers
Und zwar habe der Kläger durch die Bestätigung von PushTANs auf Anforderung des Anrufers hin gegen seine Verpflichtung, Sicherheitsmerkmale vor unbefugten Zugriff zu schützen, verstoßen und einem unbekannten Dritten Zugriff auf ein personalisiertes Sicherheitsmerkmal gewährt. Er habe dadurch die Kontrolle über das Authentifizierungsinstrument PushTAN faktisch in die Hände des Anrufers gelegt.
In jeder Hinsicht begründe die Freigabe einer PushTAN auf telefonischen Zuruf hin den Vorwurf der groben Fahrlässigkeit (§ 675v Abs. 3 Nr. 2 BGB) in objektiver und subjektiver Hinsicht, so das OLG.
Und zwar werde dem Kunden bei der Freigabeaufforderung grundsätzlich angezeigt, für welchen konkreten Vorgang – etwa eine Überweisung in konkreter Höhe – die TAN geschaffen wurde.
Beachte ein Kunde diese deutlichen Hinweise nicht und erteilt die Freigabe, ohne auf die Anzeige zu achten, liege hierin kein bloß einfach fahrlässiger Pflichtverstoß mehr, so das OLG. Denn bei Nutzung einer App, die explizit der Freigabe von Finanztransaktionen dient, müsse es im Allgemeinen jedem einleuchten, dass die Anzeige zur Kenntnis zu nehmen und gründlich zu prüfen sei.
Banken warnen schon seit langem vor Pishing-Nachrichten
Keine Haftung der Bank bei Pishing-Angriff? Der Kläger berufe sich auf einen atypischen Ablauf in der App, auf die er durch den Klick auf den in der SMS angegebenen Link geraten sei. Dazu bemerkte das OLG, dass sämtliche Banken seit Jahren vor so genannten Phishing-Nachrichten warnten. Dies könne dem Kläger nicht entgangen sein. Diese so genannten Pishing-Nachrichten würden den ersten Eindruck erwecken, von einem Zahlungsdiensteanbieter zu stammen. Typischerweise würden sie aber zu gefälschten Websites führen. Und zwar würde dieses kriminelle Phänomen seit 2006 öffentlich breit diskutiert.
Offensichtlich handele es sich im vorliegenden Fall um eine derartige Phishing-Nachricht, so das OLG. Der Kläger hätte dies auch erkennen müssen. Und zwar spätestens nach der Aufforderung, persönliche Sicherheitsmerkmale im Rahmen einer von ihm selbst als „atypisch“ wahrgenommenen Umgebung freizugeben. Die Überlegung hätte spätestens an diesem Punkt hätte ganz nahegelegen, einem Betrugsversuch aufgesessen zu sein, so das OLG.
Keine Haftung der Bank bei Pishing-Angriff? Wie geht es weiter?
Die Entscheidung ist nicht rechtskräftig. Und zwar hat der Kläger Nichtzulassungsbeschwerde beim BGH eingereicht und begehrt die Zulassung der Revision.
Quelle: Pressemitteilung des OLG Frankfurt über: https://ordentliche-gerichtsbarkeit.hessen.de/presse/keine-haftung-der-bank
Keine Haftung der Bank bei Pishing-Angriff? Fragen Sie den Fachanwalt für Bank- und Kapitalmarktrecht in unserer Kanzlei
Siehe auch:
Bankenhaftung bei Missbrauch der PIN durch Unbefugte?
Anscheinsbeweis bei EC-Kartenmissbrauch zu erschüttern?
Haftstrafe wegen Betrug bei Erlangung von Corona-Soforthilfen?
Wer haftet bei missbräulicher Bargeldabhebung am Geldautomaten?
Kreditkartenmissbrauch – Bank ohne Abbruchbeleg erstattungspflichtig?
Dazu weiterhin:
TAN im Online-Banking per Telefon?
Anscheinsbeweis zugunsten der Bank bei EC – Kartenmissbrauch?
Erstattungsanspruch gegen Bank bei Geldkartenmissbrauch?
Trägt der Bankkunde die Beweislast beim EC Kartenbetrug?
Haftung für Geldwäsche bei Fremdnutzung Girokonto für Internetbetrug?
Haftung der Bank bei Phishing-Attacke im Online-Banking?
Dazu weiterhin:
Anscheinsbeweis zugunsten der Bank im Online-Banking?
Weitergabe einer TAN grob fahrlässig?
Haftung der Bank bei Schließfacheinbruch
Wann haftet die Bank bei Verlust der EC-Karte?
Haftung der Bank bei Online-Überweisung auf polnisches Konto?
Reservierungsvertrag mit Makler wirksam?
Haftet Kreditkartenunternehmen bei illegalem Online-Glücksspiel?
Schutzpflichten einer Bank bei Enkel-Trick?
Fachanwalt für Bank- und Kapitalmarktrecht
Rechtsanwalt Rolf Heinemann: Keine Haftung der Bank bei Pishing-Angriff? Dazu hat das Oberlandesgericht Frankfurt am Main mit Urteil vom 06.12.2023, Az. 3 U 3/23, entschieden. Fragen Sie den Fachanwalt für Bank- und Kapitalmarktrecht in unserer Kanzlei