Zur Haftung der Bank für grob fahrlässig freigegebene Phishing Aufträge
Urteil des OLG Frankfurt vom 06.12.2023 (3 U 3/23)
Ein Kunde, der mittels PushTAN und Verifizierung über Gesichtserkennung nach einer Phishing-Nachricht die temporäre Erhöhung seines Überweisungslimits und eine anschließende Überweisung freigibt, handelt unter Umständen grob fahrlässig.
Die Bank schuldet in diesem Fall nicht die Rückerstattung des überwiesenen Betrags.
Der Entscheidung des OLG Frankfurt liegt folgender Sachverhalt zu Grunde:
Die Parteien streiten um die Wiedergutschrift einer Kontobelastung. Der Kläger führt ein Girokonto bei der beklagten Bank.
Als Verfahren zur Beauftragung von Online-Transaktionen wählt der Kläger das PushTAN App-Verfahren mit Verifizierung per Gesichtserkennung. Bis zum 2. September 2021 hat der Kläger ein Überweisungslimit von 10.000 Euro festgesetzt.
An diesem Tag erhält er eine SMS, in der vermeintlich seine Bank ihn dazu auffordert sich für „das neue S-CERT Verfahren“ anzumelden.
Als Absender dieser SMS wird eine Telefonnummer angezeigt, welche die Bank des Klägers bereits am 14. Juni 2022 verwendet hatte, um den Kläger über eine vorübergehende Sperrung seiner Kreditkarte wegen eines Sicherheitsvorfalls zu informieren.
Der Kläger folgt dem in der SMS angegebenen Link.
Anschließend wird er von einer männlichen Person angerufen. Auf Anweisung des Anrufers hin bestätigt der Kläger „etwas“ in der PushTAN-App der Beklagten.
Am selben Tag, dem 2. September 2021 wird das Konto des Klägers bei der Beklagten mit einer Echtzeit-Überweisung in Höhe von 49.999,99 Euro belastet.
Am nächsten Tag gibt der Kläger, nach Entdeckung dieser Überweisung, eine Schadensfallerstmeldung bei der Beklagten ab und erstattet Anzeige bei der Polizei.
Nachdem der Kläger von der Beklagten vorgerichtlich vergeblich verlangt, den Betrag wieder gutzuschreiben, verfolgt er sein Begehren gerichtlich weiter.
Das Landgericht weist die Klage in erster Instanz ab. Mit der Berufung verfolgt der Kläger sein Begehren weiter.
Die Berufung hat keinen Erfolg.
Es könne bereits dahinstehen, ob – wie das Landgericht angenommen habe – der Beweis des ersten Anscheins dafür spreche, dass der Kläger den Zahlungsvorgang autorisiert habe, denn selbst wenn dem Kläger ein Anspruch gegen die Bank auf Wiederherstellung des Kontostands zustünde, stünde diesem ein Gegenanspruch der Bank auf Schadensersatz in gleicher Höhe entgegen.
Der Kläger habe grob fahrlässig seine Pflichten verletzt und der Beklagten stehe infolgedessen ein Schadensersatzanspruch zu.
Das Gericht erachtet den Vortrag des Klägers, er habe lediglich einmal „etwas“ in seiner PushTAN-App mittels Gesichtserkennung bestätigt nicht für glaubhaft, da sich aus den IP-Protokollen der Bank ergäbe, dass er drei verschiedene Aufträge, unter anderem auch zur Heraufsetzung des Tageslimits autorisiert habe.
Zudem sei der Kläger aufgrund seiner beruflichen Qualifikation als Rechtsanwalt und Steuerberater in einer namhaften internationalen Sozietät in geschäftlichen Dingen grundsätzlich erfahren und nicht besonders schutzwürdig. Er habe daher keinen Anspruch auf die Wiedergutschrift des verlorenen Betrages gegen die Bank.
Hinweis:
An diesem Verfahren war der Verbraucherzentrale Bundesverband (vzbv) nicht beteiligt. Gerne informiert Sie der vzbv alle vier bis sechs Wochen mit einem kostenlosen Newsletter über neue Urteile zum Verbraucherrecht.
Eckdaten zum Urteil
Datum der Urteilsverkündung: 06.12.2023
Aktenzeichen: 3 U 3/23
Gericht: OLG Frankfurt a. M.
Link zum Urteil - https://www.rv.hessenrecht.hessen.de/bshe/document/LARE240000283