Grobe Fahrlässigkeit beim Kreditkarten-Phishing
Urteil des Amtsgerichts München vom 8. Januar 2025 – Aktenzeichen: 271 C 16677/24
Das Amtsgericht München hat in einem aufsehenerregenden Fall entschieden, dass ein Verbraucher, der Opfer einer Phishing-Attacke wurde und dadurch unberechtigte Kreditkarten-Abbuchungen erlitt, keinen Anspruch auf Rückzahlung gegen seine Bank hat.
Der Grund:
Das Gericht sah es als erwiesen an, dass der Kunde (in diesem Fall die Ehefrau, deren Karte benutzt wurde) grob fahrlässig gehandelt hatte, indem er den entscheidenden Sicherheitscode – eine SMS-TAN – an die Betrüger weitergab.
Der Ablauf des Betrugs
Die Ereignisse begannen am 6. Januar 2024, als der Ehemann der betroffenen Münchnerin versuchte, eine Reise im Internet zu buchen. Er geriet dabei auf eine gefälschte Website, die einer bekannten Buchungsplattform ähnelte.
Dateneingabe:
Er gab die Kreditkartendaten seiner Frau ein.
Verdacht:
Kurz darauf erschienen mehrere verdächtige Vormerkungen über jeweils 318,99 € auf dem Konto. Die Kundin reagierte noch am selben Abend und ließ ihre Kreditkarte sperren.
Abbuchung trotz Sperrung:
Trotz der Sperrung wurden am darauffolgenden Montag (8. Januar 2024) sechs unberechtigte Abbuchungen über insgesamt 1.953,29 € für „Giftcards“ (Geschenkkarten) durchgeführt.
Der Knackpunkt: Die Zwei-Faktor-Authentifizierung (3D-Secure)
Für die Abbuchungen nutzten die Betrüger das eigentlich sichere Mastercard 3D-Secure-Verfahren (auch als Zwei-Faktor-Authentifizierung bekannt). Dieses Verfahren erfordert für eine Transaktion neben den Kartendaten einen zweiten, geheimen Faktor.
Die Bank konnte nachweisen, dass die Betrüger am Tag des Buchungsversuchs (6. Januar 2024) auf einem neuen, unbekannten Gerät die Banking-App der Kundin für das 3D-Secure-Verfahren aktiviert hatten.
Der notwendige Schritt: Für diese Aktivierung musste die Bank zwingend eine SMS-TAN (einen einmal gültigen Code) an die beim Vertrag hinterlegte Handynummer der Kundin senden.
Grobe Fahrlässigkeit beim Kreditkarten-Phishing
Der entscheidende Fehler:
Dieser Code musste manuell auf dem neuen, unbekannten Gerät eingegeben werden, um es als vertrauenswürdiges Gerät für Freigaben zu registrieren.
Die Kundin bestritt vor Gericht, eine solche SMS-TAN erhalten oder eingegeben zu haben.
Das Urteil: Grobe Fahrlässigkeit festgestellt
Das Gericht wies die Klage der Kundin auf Rückzahlung der 1.953,29 € ab:
Abbuchungen waren unautorisiert:
Das Gericht war zwar davon überzeugt, dass die Abbuchungen selbst nicht von der Kundin, sondern von Dritten getätigt wurden.
Widerlegung der Behauptung:
Durch die Einsicht in das Handy der Kundin und die Protokolle der Bank konnte jedoch festgestellt werden, dass die SMS-TAN zur Aktivierung des neuen Geräts am 6. Januar 2024 tatsächlich eingegangen war. Die Behauptung der Kundin, sie habe die TAN nicht erhalten, wurde widerlegt.
Die rechtliche Schlussfolgerung:
Da die Bank technisch ausschließen konnte, dass die Freigabe des neuen Geräts ohne die manuelle Eingabe der TAN möglich war, folgerte das Gericht: Die Kundin muss die TAN grob fahrlässig an die Betrüger weitergegeben haben.
Die Begründung des Gerichts:
Es sei ein grundlegender Unterschied, ob man die Kreditkartennummer preisgebe (was relativ normal ist) oder den Zugangscode (TAN), der im Rahmen einer Zwei-Faktor-Authentifizierung erteilt wird. Mit der Weitergabe eines solchen Codes hebelt der Nutzer die gesamte Sicherheitsarchitektur grundlegend aus. Dieses Risiko müsse jedem verständigen Nutzer klar sein.
Wegen dieser groben Fahrlässigkeit sprach das Gericht der Bank einen Schadensersatzanspruch in gleicher Höhe der abgebuchten Summe zu, mit dem die Bank gegen den Rückzahlungsanspruch der Kundin aufrechnen konnte. Die Kundin musste den Schaden somit selbst tragen.
