Teilen Teilen Kommentare Drucken

Online-Banking: Bank haftet für unautorisiertes smsTAN-Verfahren

Veröffentlicht: 25.09.2018 | Autor: Melvin Louis Dreyer | Letzte Aktualisierung: 25.09.2018

Einen größeren Schreck dürfte kürzlich ein Einzelkaufmann erlitten haben, als er zwei unautorisierte Überweisungen von seinem Geschäftskonto feststellte. Unbefugte hatten das smsTAN-Verfahren ohne sein Wissen genutzt und den Mann um über 28.000 Euro erleichtert. Die Bank trägt die Beweislast für einen Haftungsverstoß des Kontoinhabers, urteilte das Landgericht Kiel – und diese konnte hier nicht überzeugen.

creditcard fraud
© silvabom / Shutterstock.com

Vor dem Landgericht Kiel hat ein Einzelkaufmann seine Bank verklagt (AZ.: 12 O 562/17). Von seinem Geschäftskonto waren zwei unautorisierte Überweisungen mit einem Gesamtbetrag von über 28.000 Euro abgegangen. Dem Kontoinhaber war am Tag vor dem Vorfall aufgefallen, dass sein Smartphone nicht funktionierte und hatte dies, ohne weitere Bedenken, seinem Mobilfunkanbieter mitgeteilt. Ein Zusammenhang ergab sich im Nachhinein, weil der Kaufmann das von der Bank angebotene smsTAN-Verfahren zur Legitimierung von Überweisungen und ähnlichem nutzte. Beide Überweisungen waren der Bank jeweils mit einer korrekten Pin erteilt worden, diese wird aber durch das Tan-Verfahren für jede Aktion neu generiert und dem Kunden mittels SMS mitgeteilt.

Kontoinhaber sollte für seinen Mobilfunkanbieter haften

Der Kontoinhaber teilte seine Bemerkung über die Überweisungen der Bank umgehend mit und erstattete Strafanzeige. Das Geld war jedoch bereits nicht mehr dort, wohin es überwiesen wurde, und die Bank konnte es nicht mehr zurückholen. Der Kläger begehrte dann vor Gericht die Erstattung durch die Bank selbst. Was während des Smartphone-Defekts genau geschehen ist, lässt das Urteil offen – dabei handelt es sich um strafrechtliche Aspekte, die in einem gesonderten Gerichtsverfahren geklärt werden. Die Richter gingen aber davon aus, dass sich die Betrüger eine Ersatz-SIM-Karte beschafft hatten und so die SMS mit der Pin abfangen konnten. Wie basic thinking berichtet, sind solche Fälle, in denen Täter eine Ersatz-SIM-Karte verwenden und dann etwa durch eine Phishing-E-Mail Kontozugriff erhalten, nicht absolut ungewöhnlich. Nach Ansicht der Bank sollte sich der klagende Kontoinhaber aber den Fehler seines Mobilfunkanbieters zurechnen lassen.

Zahlungsdienste über Internet mit Verlustrisiko verbunden

Das Landgericht Kiel urteilte, dass der Kontoinhaber von der beklagten Bank zu Recht verlangen könne, sein Konto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch die unautorisierten Überweisungen befunden hatte. Laut Gesetz hatte die Bank für die Gefahr zu haften, die sich aus dem Versenden personalisierter Sicherheitsmerkmale an den Zahlungsdienstnutzer, hier also dem Kontoinhaber, ergibt. Dies gelte auch für die elektronische Versendung, so die Richter.

Für diesen Fall bedeutete das Folgendes: Der Kontoinhaber musste zwar darlegen, inwiefern er Sicherungsmaßnahmen getroffen hat. Allerdings trug die Bank die Beweislast dafür, dass das Abhandenkommen der Pin in den Verantwortungsbereich des Kunden fällt. Da der Kunde alle notwendigen Vorkehrungen zur Verhütung solcher Fälle wahrgenommen habe, sei es dem Zahlungsdienstleister zumutbar, das verbleibende Restrisiko der Unaufklärbarkeit der Schadensursache zu tragen, stellten die Richter dann fest. Schließlich sei das Geschäftsmodell der Bank, gewerblich Zahlungsdienste über das Internet abzuschließen auch untrennbar mit einem gewissen Verlustrisiko verbunden, welches einkalkuliert werden müsse, hieß es weiter in den Entscheidungsgründen. Ebenfalls aus diesem Grund hatte das Argument der Bank, dem Kunden sei das Verschulden durch die fehlerhafte Aktivierung der Ersatz-SIM-Karte durch den Mobilfunkanbieter zuzurechnen, keinen Erfolg bei den Richtern.

Schutz vor Haftung: Kontoinhaber tragen Sicherungspflichten

Das Gericht ging auch darauf ein, dass laut Bank der Vertrag über das Geschäftskonto unter der Verwendung von AGB geschlossen worden sei. Demnach hafte der Kunde schon bei leichter Fahrlässigkeit. Zum Glück für den Kontoinhaber konnte die Bank die Einbeziehung der AGB in den Kontovertrag aber nicht ausreichend nachweisen. Dies sollte jedoch Anlass sein, sich gerade als Gewerbetreibender, der in dieser Funktion nicht dem Verbraucherschutzrecht unterliegt, das Kleingedruckte unter die Lupe zu nehmen, um keine bösen Überraschungen erwarten zu müssen. Im Zweifel hilft sicherlich auch ein zuständiger Bankmitarbeiter.

Insgesamt sind Bankkunden durch die Beweislast der Bank verhältnismäßig sicher vor betrügerischen Handlungen. Trotzdem sollte im Falle von Unregelmäßigkeiten insbesondere die Bank umgehend informiert werden, damit diese notwendige Schritte einleiten kann. Dies gilt umso mehr, wenn die Zahlungskarte oder das Smartphone, mit dem Zahlungs-Pins generiert werden können, verloren gegangen ist oder gestohlen wurde. Außerdem sollte man seine eigenen Sicherungspflichten ernst nehmen. Zugangsdaten und Pins müssen sicher aufbewahrt werden. Mit den klassischen Erinnerungszetteln im Portemonnaie etwa handelt man grob fahrlässig und verliert so seinen Erstattungsanspruch gegenüber der Bank. Auch bei E-Mails sollte man regelmäßig darauf achten, dass es sich dabei nicht um Phishing handelt.

Das Urteil ist noch nicht rechtskräftig.

Über den Autor

Melvin Louis Dreyer Experte für IT- und Verbraucherrecht

Melvin ist seit Mitte 2018 Teil des juristischen Redaktionsteams. Er hat schon während seines Rechtswissenschaft-Studiums leidenschaftlich gerne Beiträge verfasst und Fachwissen vermittelt. Jetzt berichtet er als Redakteur regelmäßig zu rechtlichen Neuigkeiten und Fragestellungen in der Welt des E-Commerce und verwirklicht damit nebenbei auch noch seine Interessen an Gesellschaft und Wirtschaft. 

Sie haben Fragen oder Anregungen?

Kontaktieren Sie Melvin Louis Dreyer

Schreiben Sie einen Kommentar

Newsletter
Abonnieren
Bleibe stets informiert mit unserem Newsletter.