Betrug beim Online-Banking und wer dafür haftet
OLG Naumburg, 22.05.2024 – 5 U 11/24
RA und Notar Krau
Stellen Sie sich vor, Sie nutzen Online-Banking und fallen einem raffinierten Betrug zum Opfer. Genau das ist einem Ehepaar aus Sachsen-Anhalt passiert. Es geht um eine größere Summe Geld, die von ihrem Konto verschwunden ist. Das Gericht musste klären: Wer ist schuld, und wer muss den Schaden bezahlen – die Bank oder die Kunden?
Was ist passiert?
Die Geschichte beginnt damit, dass die Kundin versucht, ihre Online-Banking-PIN zu ändern. Dabei stößt sie auf Schwierigkeiten. Plötzlich öffnet sich ein Fenster auf ihrem Computer, das eine neue Sicherheitssoftware verlangt. Kurz darauf klingelt das Telefon. Auf dem Display erscheint die Nummer ihrer Bank. Eine Anruferin gibt sich als Bankmitarbeiterin aus und erklärt, dass eine neue Sicherheitssoftware installiert werden müsse.
Die Anruferin wirkt sehr überzeugend: Sie nennt den Namen einer echten Bankmitarbeiterin und beweist ihr Wissen über die jüngsten Kontobewegungen der Kundin. Sie fordert die Kundin auf, mit ihrem TAN-Generator (ein kleines Gerät, das Einmalpasswörter, sogenannte TANs, erzeugt) Zahlenfolgen einzugeben und die generierten TANs am Telefon durchzugeben. Die Kundin, die bis dahin nur eine andere Methode (Flickercode) kannte, folgt den Anweisungen.
Was die Kundin nicht weiß: Während sie die TANs generiert und durchgibt, werden im Hintergrund Überweisungen ausgelöst. Zuerst wird das Tageslimit des Kontos erhöht, dann werden 35.555 Euro auf ein fremdes Konto überwiesen. Erst später bemerkt die Kundin den Betrug.
Betrug beim Online-Banking und wer dafür haftet
Warum ist das so kompliziert?
Bei Online-Banking-Betrugsfällen gibt es oft Streit um die Autorisierung und Authentifizierung von Zahlungen.
- Autorisierung: Hat der Kunde der Zahlung zugestimmt?
- Authentifizierung: Wurde technisch überprüft, dass der Kunde es wirklich ist, der die Zahlung auslöst?
Die Bank muss nachweisen, dass die Authentifizierung korrekt war. Aber selbst wenn das gelingt, heißt das nicht automatisch, dass der Kunde der Zahlung zugestimmt hat. Es muss der Einzelfall genau geprüft werden.
In diesem Fall konnte das Gericht feststellen, dass nicht die Kundin, sondern ein Betrüger die Überweisungen in Auftrag gegeben hat. Die Betrüger hatten wahrscheinlich durch eine gefälschte Webseite oder einen anderen Angriff die Zugangsdaten der Kunden erhalten und nutzten die arglose Kundin, um an die TANs zu kommen.
Die Grobe Fahrlässigkeit der Kundin
Das Gericht kam zu dem Schluss, dass die Kundin grob fahrlässig gehandelt hat. Grobe Fahrlässigkeit bedeutet, dass jemand eine Situation nicht erkannt hat, die sich jedem aufdrängen müsste, und dabei jegliche Vorsicht vermissen lässt.
Warum?
- Telefonische Weitergabe von TANs: Banken weisen immer wieder darauf hin, dass TANs niemals am Telefon oder per E-Mail weitergegeben werden dürfen, außer zur Bestätigung eines selbst ausgelösten Vorgangs. Die Kundin nutzte ihren TAN-Generator, um Codes für einen angeblichen Sicherheitscheck zu erzeugen, während das Gerät eigentlich für die Bestätigung von Zahlungen gedacht ist.
- Ungewöhnliche Umstände: Es war ungewöhnlich, dass die Bank sich am späten Abend oder am Wochenende für eine Software-Installation meldet. Auch dass persönliche Daten wie die IBAN und der Überweisungsbetrag in den TAN-Generator eingegeben werden sollten, hätte stutzig machen müssen, da dies nicht zu einem „Sicherheitsprogramm“ passt.
- Fehlende eigene Recherche: Die Kundin hätte die Bank selbst kontaktieren oder sich anderweitig vergewissern müssen, ob der Anruf legitim war, anstatt blind den Anweisungen zu folgen.
Hat die Bank auch Fehler gemacht?
Die Kunden argumentierten, die Bank hätte ebenfalls Fehler gemacht, zum Beispiel indem sie beim ersten Einloggen mit einem neuen Gerät keine „starke Kundenauthentifizierung“ verlangt und dadurch sensible Daten der Kunden preisgegeben habe. Eine starke Kundenauthentifizierung bedeutet, dass mindestens zwei voneinander unabhängige Merkmale (z.B. Wissen wie die PIN und Besitz wie der TAN-Generator) abgefragt werden.
Das Gericht wies dies jedoch zurück. Die Haftung des Kunden ist nur ausgeschlossen, wenn die Bank bei dem konkreten Zahlungsvorgang keine starke Kundenauthentifizierung verlangt hat. Hierbei wurden aber für die Überweisung die TANs abgefragt, was eine starke Kundenauthentifizierung darstellt. Das chipTAN-Verfahren gilt als sehr sicher. Auch wenn die Betrüger vorher an Daten gelangt sein könnten, führte dies allein nicht zum Schaden. Das Verhalten der Kunden war der entscheidende Faktor.
Das Urteil
Im Ergebnis entschied das Gericht, dass die Bank zwar den Betrag auf das Konto der Kunden zurückbuchen müsste, aber die Kunden gleichzeitig der Bank den gleichen Betrag als Schadensersatz zahlen müssen. Das bedeutet im Klartext: Die Klage des Ehepaares wurde abgewiesen. Sie bekommen ihr Geld nicht zurück, weil sie selbst grob fahrlässig gehandelt haben, indem sie die TANs am Telefon weitergegeben haben.
Fazit: Dieses Urteil unterstreicht, wie wichtig es ist, bei Online-Banking-Vorgängen äußerst vorsichtig zu sein und niemals sensible Daten wie TANs oder Passwörter am Telefon oder auf unbekannten Webseiten preiszugeben. Banken werden solche Informationen niemals auf diesem Wege abfragen.
