Schadensersatzanspruch der Bank bei Weitergabe der PIN an Ehemann?

Diese Vorstellung ist keine schöne: Man öffnet das Online-Banking oder schaut auf den Kontoauszug und es erstreckt sich gähnende Leere – wo keine sein sollte. Dass Betrüger etwa mit Phishing Zugangsdaten für Konten abgreifen und die Ersparnisse Huckepack nehmen, kommt vor. So auch in diesem Fall, der vor dem Landgericht Nürnberg-Fürth verhandelt wurde. Kommt es zu einem unautorisierten Zahlungsvorgang, haftet grundsätzlich der Zahlungsdienstleister: Er muss den „abgeräumten“ Betrag erstatten bzw. das Konto wieder auf den vorherigen Stand bringen.

Das verlangte in diesem Fall auch die Kundin einer Bank, bei der es zu einer Transaktion von über 25.000 Euro gekommen war, die sie nicht autorisiert hatte. 

Zugangsdaten zum Bankkonto mit Ehemann geteilt

Entgegen der Regelung in den allgemeinen Geschäftsbedingungen hatte sie „personalisierte Sicherheitsmerkmale“ aber nicht geheim gehalten bzw. vor dem Zugriff anderer verwahrt. Vielmehr nahm ihr Ehemann die Verwaltung des Kontos schon seit dessen Eröffnung wahr. Die TAN zur Freigabe einer Transaktion wurde im SMS-Verfahren ebenfalls über das Mobiltelefon des Gatten ausgespielt. 

Die Bank weigerte sich nun, den Betrag der unautorisierten Transaktion gegenüber der Kontoinhaberin und Klägerin auszugleichen: Zum Ausgleich bzw. Schadensersatz sei sie nicht verpflichtet, weil die Klägerin schließlich die Zugangsdaten an Ihren Ehemann weitergegeben und damit das Phishing erst ermöglicht habe. 

Weitergabe der PIN nicht für Phishing ausschlaggebend

Der Einwand der Bank ist natürlich nicht völlig aus der Luft gegriffen. Auch wenn ein Zahlungsdienstleister grundsätzlich für den durch eine nicht autorisierte Zahlung entstandenen Schaden haftet, ergeben sich davon natürlich Ausnahmen. So muss der Zahlungsdienstleister nicht leisten, wenn der Zahlende (hier also die Kontoinhaberin) in betrügerischer Absicht gehandelt hat oder der Schaden herbeigeführt wurde, weil vereinbarte Bedingungen für die Nutzung des Zahlungsintruments nicht eingehalten wurden (vgl. § 675v III BGB). Dazu kann etwa die Geheimhaltung der PIN gehören.

Wie das Gericht in seiner kürzlich veröffentlichten Pressemitteilung schreibt, hat es die Bank aber dennoch zur Zahlung des Ausgleichs verpflichtet. Die Gefahr, dass unbefugte Dritte im Wege eines Phishing-Angriffs an die Zugangsdaten herankommen, sei durch die Weitergabe der PIN von der Kontoinhaberin an ihren Gatten nicht erhöht worden. Mit anderen Worten: Nur weil der Mann Zugriff auf das Konto erhalten hat, hat sich dadurch nicht das Schutzniveau verschlechtert – ein Angriff auf das Mobiltelefon des Mannes war nicht unwahrscheinlicher als ein Angriff auf jenes der Kontoinhaberin selbst. Zwar handelt es sich bei der Weitergabe der Daten an den Ehegatten um eine Verletzung vertraglicher Pflichten gegenüber der Bank – diese Pflichtverletzung habe sich aber nicht kausal auf den Schadenseintritt ausgewirkt.

Der Schaden, so nimmt das Gericht an, ist also nicht durch die Verletzung von Vertragsbedingungen durch die Klägerin herbeigeführt worden. Die Bank muss den Betrag in Höhe von über 25.000 Euro der Kontoinhaberin damit erstatten und kann ihr selbst keinen entsprechenden Schadensersatzanspruch entgegenhalten.