Onlinebanking: Grob fahrlässige Pflichtverletzung bei pushTAN-Verfahren kann für Kunden teuer werden
OLG Bremen 30.8.2024 - 1 U 32/24
Der Sachverhalt:
Die beklagte Bank führt ein Girokonto für den Kläger. Seit dem 31.5.2013 ist die Nutzung des Online-Bankings vereinbart. Der Kläger nutzte hierfür fortan das von der Beklagten eingerichtete pushTAN-Verfahren. In den Bedingungen für das Online-Banking ist u.a. vorgesehen, dass der Nutzer seine Authentifizierungselemente vor unbefugtem Zugriff zu schützen hat, was auch jede mündliche Mitteilung oder Weitergabe einer TAN außerhalb des Online-Banking ausschließt, und dass er Sicherheitshinweise auf der Online-Banking-Seite der Beklagten zu beachten sowie vor der Freigabe eines Zahlungsauftrags die Übereinstimmung der ihm angezeigten Daten mit den für den Auftrag vorgesehenen Daten zu prüfen hat.
Am 4.1.2023 hatte der Kläger mehrere Telefonanrufe erhalten, deren konkreter Inhalt zwischen den Parteien streitig blieb. Im weiteren Verlauf gab der Kläger unter der Verwendung der Gesichtserkennung seines Mobiltelefons in seiner Mobiltelefon-App eine pushTAN für eine Echtzeitüberweisung über 10.000 € auf das Konto eines Dritten bei einer anderen Bank frei. Die Überweisung wurde sofort ausgeführt und das Konto des Klägers entsprechend belastet. Dieser teilte der Beklagten noch am selben Tag mit, Opfer eines Betrugs geworden zu sein, und forderte diese zur Erstattung des überwiesenen Betrages auf, was die Bank aber ablehnte.
Das LG wies die Klage ab. In seinem Hinweisbeschluss nach § 522 Abs. 2 ZPO legte das OLG dar, dass die Berufung keine Aussicht auf Erfolg hat.
Die Gründe:
Dem Kläger ist aufgrund der Belastung seines Kontos infolge der Überweisung der 10.000 € zwar ein Anspruch aus § 675u S. 2 BGB gegenüber der Beklagten entstanden, da die Überweisung zunächst vom Kläger wirksam autorisiert worden war, sodann aber angefochten wurde. Aber auch die Beklagte konnte gegen den Kläger einen Schadensersatzanspruch aus § 675v Abs. 3 Nr. 2 BGB i.H.d. abgebuchten Betrags geltend machen bzw. damit aufrechnen.
Selbst wenn der Kläger eine pushTAN freigegeben hat, ohne dass ihm die Daten eines Zahlungsvorgangs angezeigt worden waren, hat er durch die Freigabe der pushTAN sein personalisiertes Sicherheitsmerkmal einem unbefugten Zugriff ausgesetzt, da er hierdurch die Kontrolle über die pushTAN faktisch in die Hände des unbekannten Anrufers gelegt hat. Der Fall unterscheidet sich nicht von jener Konstellation, in der der Kunde ihm übersandte TANs auf Anweisung eines angeblichen Bankmitarbeiters diesem übermittelt und ihm ermöglicht, diese TAN zur Autorisierung eines nicht vom Kunden selbst im Onlinebanking-System veranlassten Zahlungsauftrags zu verwenden (vgl. OLG Bremen v. 15.4.2024 - 1 U 47/23, ITRB 2024, 229 ff. [Schulteis]).
Außerdem hat der Kläger seine Pflichten durch Nichtbeachtung der Sicherheitshinweise auf der Onlinebanking-Seite der Bank verletzt. Dort wurde zum einen vor Anrufen vermeintlicher Bankmitarbeiter unter täuschender Angabe der Rufnummer gewarnt, bei denen die Anrufer die Kunden auffordern würden, einen Auftrag in der pushTAN-App freizugeben (sog. Call-ID-Spoofing). Zum anderen war ein weiterer Sicherheitshinweis über das elektronische Postfach auf der Onlinebanking-Seite erfolgt, mit dem der Kunde erinnert wurde, nur von ihm selbst veranlasste Zahlungsaufträge freizugeben und in der pushTAN-App die Auftragsdaten zu prüfen. Beide Sicherheitshinweise hat der Kläger hier nicht beachtet.
Die Pflichtverletzungen des Klägers waren zudem grob fahrlässig. So sind die Freigabe einer pushTAN auf telefonische Aufforderung eines unbekannten Dritten hin wie auch die telefonische Weitergabe von TANs an einen Dritten grundsätzlich als schwere Sorgfaltsverstöße zu werten. Schließlich ist es allgemein bekannt, dass personalisierte Sicherheitsmerkmale des Kunden nicht gegenüber Dritten offenbart werden dürfen.
Mehr zum Thema:
Aufsatz
Aktuelle Rechtsprechung des XI. Zivilsenats des Bundesgerichtshofs zum Bank- und Kapitalmarktrecht
Christian Grüneberg, WM 2025, 1
Beratermodul WM / WuB Wirtschafts- und Bankrecht
WM und WuB in einem Modul: Die WM Zeitschrift für Wirtschafts- und Bankrecht informiert wöchentlich aktuell und umfassend im Rechtsprechungsteil über Urteile und Beschlüsse der Gerichte. Die WuB Entscheidungsanmerkungen zum Wirtschafts- und Bankrecht informieren monatlich aktuell und praxisbezogen kommentiert über alle wichtigen wirtschafts- und bankrechtlichen Entscheidungen. 4 Wochen gratis nutzen!
Hanseatisches Oberlandesgericht in Bremen
Die beklagte Bank führt ein Girokonto für den Kläger. Seit dem 31.5.2013 ist die Nutzung des Online-Bankings vereinbart. Der Kläger nutzte hierfür fortan das von der Beklagten eingerichtete pushTAN-Verfahren. In den Bedingungen für das Online-Banking ist u.a. vorgesehen, dass der Nutzer seine Authentifizierungselemente vor unbefugtem Zugriff zu schützen hat, was auch jede mündliche Mitteilung oder Weitergabe einer TAN außerhalb des Online-Banking ausschließt, und dass er Sicherheitshinweise auf der Online-Banking-Seite der Beklagten zu beachten sowie vor der Freigabe eines Zahlungsauftrags die Übereinstimmung der ihm angezeigten Daten mit den für den Auftrag vorgesehenen Daten zu prüfen hat.
Am 4.1.2023 hatte der Kläger mehrere Telefonanrufe erhalten, deren konkreter Inhalt zwischen den Parteien streitig blieb. Im weiteren Verlauf gab der Kläger unter der Verwendung der Gesichtserkennung seines Mobiltelefons in seiner Mobiltelefon-App eine pushTAN für eine Echtzeitüberweisung über 10.000 € auf das Konto eines Dritten bei einer anderen Bank frei. Die Überweisung wurde sofort ausgeführt und das Konto des Klägers entsprechend belastet. Dieser teilte der Beklagten noch am selben Tag mit, Opfer eines Betrugs geworden zu sein, und forderte diese zur Erstattung des überwiesenen Betrages auf, was die Bank aber ablehnte.
Das LG wies die Klage ab. In seinem Hinweisbeschluss nach § 522 Abs. 2 ZPO legte das OLG dar, dass die Berufung keine Aussicht auf Erfolg hat.
Die Gründe:
Dem Kläger ist aufgrund der Belastung seines Kontos infolge der Überweisung der 10.000 € zwar ein Anspruch aus § 675u S. 2 BGB gegenüber der Beklagten entstanden, da die Überweisung zunächst vom Kläger wirksam autorisiert worden war, sodann aber angefochten wurde. Aber auch die Beklagte konnte gegen den Kläger einen Schadensersatzanspruch aus § 675v Abs. 3 Nr. 2 BGB i.H.d. abgebuchten Betrags geltend machen bzw. damit aufrechnen.
Selbst wenn der Kläger eine pushTAN freigegeben hat, ohne dass ihm die Daten eines Zahlungsvorgangs angezeigt worden waren, hat er durch die Freigabe der pushTAN sein personalisiertes Sicherheitsmerkmal einem unbefugten Zugriff ausgesetzt, da er hierdurch die Kontrolle über die pushTAN faktisch in die Hände des unbekannten Anrufers gelegt hat. Der Fall unterscheidet sich nicht von jener Konstellation, in der der Kunde ihm übersandte TANs auf Anweisung eines angeblichen Bankmitarbeiters diesem übermittelt und ihm ermöglicht, diese TAN zur Autorisierung eines nicht vom Kunden selbst im Onlinebanking-System veranlassten Zahlungsauftrags zu verwenden (vgl. OLG Bremen v. 15.4.2024 - 1 U 47/23, ITRB 2024, 229 ff. [Schulteis]).
Außerdem hat der Kläger seine Pflichten durch Nichtbeachtung der Sicherheitshinweise auf der Onlinebanking-Seite der Bank verletzt. Dort wurde zum einen vor Anrufen vermeintlicher Bankmitarbeiter unter täuschender Angabe der Rufnummer gewarnt, bei denen die Anrufer die Kunden auffordern würden, einen Auftrag in der pushTAN-App freizugeben (sog. Call-ID-Spoofing). Zum anderen war ein weiterer Sicherheitshinweis über das elektronische Postfach auf der Onlinebanking-Seite erfolgt, mit dem der Kunde erinnert wurde, nur von ihm selbst veranlasste Zahlungsaufträge freizugeben und in der pushTAN-App die Auftragsdaten zu prüfen. Beide Sicherheitshinweise hat der Kläger hier nicht beachtet.
Die Pflichtverletzungen des Klägers waren zudem grob fahrlässig. So sind die Freigabe einer pushTAN auf telefonische Aufforderung eines unbekannten Dritten hin wie auch die telefonische Weitergabe von TANs an einen Dritten grundsätzlich als schwere Sorgfaltsverstöße zu werten. Schließlich ist es allgemein bekannt, dass personalisierte Sicherheitsmerkmale des Kunden nicht gegenüber Dritten offenbart werden dürfen.
Aufsatz
Aktuelle Rechtsprechung des XI. Zivilsenats des Bundesgerichtshofs zum Bank- und Kapitalmarktrecht
Christian Grüneberg, WM 2025, 1
Beratermodul WM / WuB Wirtschafts- und Bankrecht
WM und WuB in einem Modul: Die WM Zeitschrift für Wirtschafts- und Bankrecht informiert wöchentlich aktuell und umfassend im Rechtsprechungsteil über Urteile und Beschlüsse der Gerichte. Die WuB Entscheidungsanmerkungen zum Wirtschafts- und Bankrecht informieren monatlich aktuell und praxisbezogen kommentiert über alle wichtigen wirtschafts- und bankrechtlichen Entscheidungen. 4 Wochen gratis nutzen!