Nach Phishing am Telefon: LG Köln verurteil Sparkasse Köln Bonn
Sparkasse Köln Bonn muss unautorisierte Zahlungen von insgesamt EUR 9.933,38 zurückzahlen. Gericht lehnt grobe Fahrlässigkeit des Kunden ab.
Sparkasse Köln Bonn unterliegt vor Landgericht
Das Landgericht Köln hat die Sparkasse Köln Bonn mit Urteil vom 08.01.2024 (22 O 43/23) zur Rückzahlung unautorisierter Zahlungen von insgesamt EUR 9.933,38, sowie zum Ersatz der vorgerichtlichen Rechtsanwaltsgebühren verurteilt. Das Verfahren führte Fachanwalt David Stader.
Sachverhalt
Der klagende Bankkunde unterhält bei der beklagten Sparkasse Köln Bonn ein Privatgirokonto und nahm seit dem Jahr 2017 am Online-Banking mittels pushTAN-Verfahrens teil.
Im September 2022 kontaktierte ein Unbekannter den Kläger telefonisch und gab sich als Mitarbeiter der Sparkasse Köln Bonn aus. Im Display des Kunden wurde die Rufnummer der Sparkasse Köln Bonn angezeigt. Dabei bediente sich der Anrufer des sog. Call-ID-Spoofings, einer technischen Methode, jedmögliche Rufnummer vorzuspiegeln.
Der Anrufer teilte dem Kunden mit, dass er aufgrund aktueller Betrugsfälle vorsorglich dessen Konto und Karte gesperrt habe und diese nun mit ihm zusammen wieder entsperren könne. Er bat den Kunden hierfür eine pushTAN freizugeben, die er nun erhalten werde. Tatsächlich meldete sich in diesem Moment die pushTAN-App des Klägers und verlangte die Freigabe eines Auftrags mit dem Text „Registrierung Karte“. Der Kunde gab den Auftrag frei.
Dabei war dem Kunden nicht bewusst, dass er hiermit tatsächlich eine digitale Version seiner Debitkarte auf einem mobilen Endgerät der Täter (hier auf eine iPhone) freigab. Diese konnten sodann über ApplePay Zahlungen vornehmen, was sie auch taten. In weniger als zwei Tagen erfolgten Zahlreiche Einzelzahlungen im stationären Handel i.H.v. insgesamt EUR 14.040,90.
Hiervon erstattete die Sparkasse Köln Bonn lediglich EUR 4.107,52. Den Restbetrag lehnte sie ab.
Auch auf die anwaltliche Inanspruchnahme blieb die Sparkasse bei ihrer Ablehnung, weshalb im Februar 2023 Klage zum Landgericht Köln erhoben werden musste.
Entscheidung des Landgerichts
Dieser Klage gab das Landgericht nunmehr vollumfänglich statt.
Dabei nahm das Landgericht zunächst an, dass dem Kunden ein Anspruch auf Wiedergutschrift der umautorisierten Beträge gem. § 675u S. 2 BGB zusteht, da er die Zahlungen nicht selbst vorgenommen hatte.
Dem von der Sparkasse geltend gemachten Gegenanspruch auf Schadensersatz wegen grob fahrlässiger Sorgfaltspflichtverletzung erteilte das Gericht eine Absage. Diese Annahme stützte das Gericht im Wesentlichen darauf, dass die Täter das sog. Call-ID-Spoofing verwendeten, um ihre Tat auszuführen. Nach Ansicht des Gerichts ist für einen verständigen, langjährigen Bankkunden die Nutzung einer ihm bekannten Rufnummer der Bank mit besonderem Vertrauen verbunden. Der Durchschnittskunde müsse von der Möglichkeit fremde Rufnummer vorzuspiegeln keine Kenntnis haben. Insofern sei dem Kunden auch kein schlechthin unentschuldbarer Pflichtenverstoß vorzuwerfen und grobe Fahrlässigkeit abzulehnen.
Etwas anderes gilt nach Ansicht des Gerichts auch nicht aufgrund des dem Kunden angezeigten Textes in seiner pushTAN-App („Registrierung Karte“). Sofern die Sparkasse eingewendet hatte, dass der Täter dem Kunden suggeriert habe, er wolle seine Karte „entsperren“ und nicht „registrieren“, misst das Gericht dem keine Bedeutung bei. Die Bezeichnung „Registrierung“ ist derart weit, dass hieraus überhaupt nicht erkennbar ist, dass es um die Einrichtung eines Zahlungssystems auf einem mobilen Endgerät des Herstellers Apple geht. Dabei berücksichtigt das Gericht auch, wie bereits die 15. Kammer des Landgerichts Köln, dass es der Sparkasse ohne Weiteres möglich gewesen wäre, einen entsprechend deutlichen Text auszuspielen. Auch dem von der Sparkasse in der pushTAN-App angezeigten Warntext, wonach „kein Auftrag“ freigegeben werden dürfe, der nicht „explizit beauftragt“ wurde, hilft der Sparkasse nach der Ansicht des Landgerichts Köln nicht. Denn hieraus ergibt sich nicht, dass der Auftrag zwingend über die Online-Banking App erfolgt sein muss. Der Kunde durfte daher davon ausgehen, dass sein (vermeintlich) telefonischer Auftrag ebenso gemeint sei.
Bedeutung für andere Verfahren
Auch wenn es sich um eine Einzelfallentscheidung handelt, die nicht 1:1 auf andere Fälle übertragen werden kann, ergeben sich auch für andere Betroffene hieraus verwertbare Erkenntnisse. Zum einen sollten Ablehnungen der Sparkassen und Banken nach einem Online-Banking Betrug nicht einfach ungeprüft hingenommen, sondern fachanwaltlich überprüft werden. Da die Frage der groben Fahrlässigkeit immer eine Frage des Einzelfalles ist, muss jeder Fall für sich bewertet werden. In ähnlichen Konstellationen, d.h. bei Fake-Anrufen unter Vorspiegelung der echten Rufnummer der Bank oder bei der Registrierung digitaler Karten, kann die Wertung des Gerichts aber zur Unterstützung der eigenen Argumentation herangezogen werden.
Hinweis: Das Urteil ist noch nicht rechtskräftig. Die Sparkasse hat Berufung zum OLG Köln eingelegt.