Phishing bei Reisebuchung: Kein Anspruch auf Rückzahlung abgebuchter Kreditkartenbeträge
AG München v. 8.1.2025 - 271 C 16677/24
Der Sachverhalt:
Der Ehemann der Münchner Klägerin wollte am Samstag, den 6.1.2024 für seine Ehefrau und sich eine Reise im Internet buchen. Hierzu gab er auf der Homepage von "Check24" die Daten der Kreditkarte seiner Ehefrau ein. Kurz darauf erschien eine Mitteilung, dass ein Betrag in Höhe von 318 € vorgemerkt sei, ehe weitere Mitteilungen über vergleichbare Vormerkungen erschienen. Die Münchnerin veranlasste noch am selben Abend telefonisch die Sperrung der Kreditkarte. Am Montag, den 8.1.2024 erfolgten sechs unberechtigte Abbuchungen zu je 318 € für Giftcards vom Konto der Klägerin, insgesamt ca. 1.950 €.
Zur Autorisierung der Transaktionen fand das Mastercard 3D-Secure-Verfahren Anwendung. Zur Aktivierung dieses Verfahrens auf einem weiteren Gerät übersandte die beklagte Bank am 6.1.2024 eine SMS-TAN an die von der Klägerin bei der Beklagten hinterlegte Mobilfunknummer. Die an die Klägerin versandte SMS-TAN wurde dann auf dem weiteren mobilen Endgerät, auf dem auch die Banking-App freigeschaltet wurde, am 6.1.2024 eingegeben und damit das Secure-Verfahren aktiviert.
Die Münchnerin behauptete, dass sie diese Abbuchungen nicht autorisiert habe. Bei der Buchung sei sie nicht nach PIN oder Passwort gefragt worden, sie habe auch nirgendwo eine SMS-Tan eingegeben. Es sei nicht erkannt worden, dass es sich möglicherweise um eine Fake-Website handelte.
Die beklagte Bank ging davon aus, dass die Münchnerin die SMS-Tan an einen Dritten weitergegeben haben muss, da eine Freigabe der Buchungen anders technisch nicht möglich gewesen sei und verweigerte die Zahlung. Die Münchnerin verklagte die Bank daher vor dem AG auf Rückzahlung der 1.950 €.
Das AG wies die Klage ab. Das Urteil ist nicht rechtskräftig.
Die Gründe:
Es ist zwar davon auszugehen, dass die Abbuchungen nicht von der Klägerin autorisiert waren, sondern von Dritten getätigt wurden. Die Beweisaufnahme hat jedoch ergeben, dass die Klägerin die SMS-Tan grob fahrlässig an Dritte weitergegeben haben muss, weshalb ein Schadensersatzanspruch der Bank gegen die Klägerin in gleicher Höhe besteht, mit dem die Bank aufgerechnet hat.
Der Vortrag der Beklagten, dass diese in ihren Systemen feststellen konnte, dass das Mastercard 3D-Secure Verfahren per Banking App für die Kreditkarte der Klägerin am 6.1.2024 um 13:30 Uhr aktiviert wurde und zur Aktivierung dieses Verfahrens auf dem neuen Gerät eine SMS-TAN an die im Vertrag hinterlegte Mobilfunknummer der Klägerin versandt wurde, wurde durch Inaugenscheinnahme des Mobiltelefons der Klägerin bestätigt. Dort befindet sich eine SMS vom 6.1.2024 13:29 Uhr mit dem Inhalt: "[...] ist Ihre TAN für die Aktivierung von Mastercard Identity Check vom 6.1.2024 13:44 Uhr." Der Eingang der SMS um 3:29 Uhr war im eingesehenen Nachrichtenverlauf um 13:29 Uhr dokumentiert und wird auch durch das als vorgelegte IT-Protokoll belegt. Der Vortrag der Klägerin, keine SMS-TAN erhalten zu haben und dass ihr Mobiltelefon nicht in die Freigabe involviert war, erwies sich damit als widerlegt.
Die Beklagte hat unbestritten vorgetragen, dass aufgrund der manuellen Eingabe einer an die Mobilfunknummer der Klägerin versandten SMS-Tan ein Fremdzugriff technisch ausgeschlossen ist. Es wurde ein neues Gerät im Online-Banking der Klägerin als Freigabeinstrument im Rahmen des 2-Faktor-Authentifizierungsverfahrens hinterlegt. Hierzu war - technisch zwingend - die Eingabe der SMS-Tan erforderlich. Es ist daher davon auszugehen, dass die Klägerin durch Preisgabe der SMS-Tan Dritten eine Registrierung eines Geräts ermöglicht hat, wobei die Preisgabe persönlicher Sicherheitsmerkmale an Dritte gemäß den vertraglichen Bestimmungen untersagt war.
Das Verhalten der Klägerin ist als grob fahrlässig zu bewerten. Es ist eine Sache, wenn man seine Kreditkartendaten offenbart. Diese werden bei jeder Verwendung offenbart und können auch von der Karte abgelesen werden. Die Weitergabe eines im Rahmen einer Zwei-Faktor-Autorisierung erhaltenen Zugangscodes kann nicht damit gleichgesetzt werden. Mit dieser Weitergabe hilft der Nutzer (Kläger), die Sicherheitsarchitektur grundlegend auszuhebeln. Es muss jedem verständigen Nutzer solcher Kreditkarten klar sein, welches Risiko er mit der Weitergabe derartiger Daten schafft. Die Klägerin mag dies nicht bewusst getan haben und es mag auch nicht erinnerlich sein. Indessen lässt sich der Vorgang plausibel nicht anders erklären.
Mehr zum Thema:
Beratermodul WM / WuB Wirtschafts- und Bankrecht
WM und WuB in einem Modul: Die WM Zeitschrift für Wirtschafts- und Bankrecht informiert wöchentlich aktuell und umfassend im Rechtsprechungsteil über Urteile und Beschlüsse der Gerichte. Die WuB Entscheidungsanmerkungen zum Wirtschafts- und Bankrecht informieren monatlich aktuell und praxisbezogen kommentiert über alle wichtigen wirtschafts- und bankrechtlichen Entscheidungen. 4 Wochen gratis nutzen!
AG München PM Nr. 14 vom 12.5.2025
Der Ehemann der Münchner Klägerin wollte am Samstag, den 6.1.2024 für seine Ehefrau und sich eine Reise im Internet buchen. Hierzu gab er auf der Homepage von "Check24" die Daten der Kreditkarte seiner Ehefrau ein. Kurz darauf erschien eine Mitteilung, dass ein Betrag in Höhe von 318 € vorgemerkt sei, ehe weitere Mitteilungen über vergleichbare Vormerkungen erschienen. Die Münchnerin veranlasste noch am selben Abend telefonisch die Sperrung der Kreditkarte. Am Montag, den 8.1.2024 erfolgten sechs unberechtigte Abbuchungen zu je 318 € für Giftcards vom Konto der Klägerin, insgesamt ca. 1.950 €.
Zur Autorisierung der Transaktionen fand das Mastercard 3D-Secure-Verfahren Anwendung. Zur Aktivierung dieses Verfahrens auf einem weiteren Gerät übersandte die beklagte Bank am 6.1.2024 eine SMS-TAN an die von der Klägerin bei der Beklagten hinterlegte Mobilfunknummer. Die an die Klägerin versandte SMS-TAN wurde dann auf dem weiteren mobilen Endgerät, auf dem auch die Banking-App freigeschaltet wurde, am 6.1.2024 eingegeben und damit das Secure-Verfahren aktiviert.
Die Münchnerin behauptete, dass sie diese Abbuchungen nicht autorisiert habe. Bei der Buchung sei sie nicht nach PIN oder Passwort gefragt worden, sie habe auch nirgendwo eine SMS-Tan eingegeben. Es sei nicht erkannt worden, dass es sich möglicherweise um eine Fake-Website handelte.
Die beklagte Bank ging davon aus, dass die Münchnerin die SMS-Tan an einen Dritten weitergegeben haben muss, da eine Freigabe der Buchungen anders technisch nicht möglich gewesen sei und verweigerte die Zahlung. Die Münchnerin verklagte die Bank daher vor dem AG auf Rückzahlung der 1.950 €.
Das AG wies die Klage ab. Das Urteil ist nicht rechtskräftig.
Die Gründe:
Es ist zwar davon auszugehen, dass die Abbuchungen nicht von der Klägerin autorisiert waren, sondern von Dritten getätigt wurden. Die Beweisaufnahme hat jedoch ergeben, dass die Klägerin die SMS-Tan grob fahrlässig an Dritte weitergegeben haben muss, weshalb ein Schadensersatzanspruch der Bank gegen die Klägerin in gleicher Höhe besteht, mit dem die Bank aufgerechnet hat.
Der Vortrag der Beklagten, dass diese in ihren Systemen feststellen konnte, dass das Mastercard 3D-Secure Verfahren per Banking App für die Kreditkarte der Klägerin am 6.1.2024 um 13:30 Uhr aktiviert wurde und zur Aktivierung dieses Verfahrens auf dem neuen Gerät eine SMS-TAN an die im Vertrag hinterlegte Mobilfunknummer der Klägerin versandt wurde, wurde durch Inaugenscheinnahme des Mobiltelefons der Klägerin bestätigt. Dort befindet sich eine SMS vom 6.1.2024 13:29 Uhr mit dem Inhalt: "[...] ist Ihre TAN für die Aktivierung von Mastercard Identity Check vom 6.1.2024 13:44 Uhr." Der Eingang der SMS um 3:29 Uhr war im eingesehenen Nachrichtenverlauf um 13:29 Uhr dokumentiert und wird auch durch das als vorgelegte IT-Protokoll belegt. Der Vortrag der Klägerin, keine SMS-TAN erhalten zu haben und dass ihr Mobiltelefon nicht in die Freigabe involviert war, erwies sich damit als widerlegt.
Die Beklagte hat unbestritten vorgetragen, dass aufgrund der manuellen Eingabe einer an die Mobilfunknummer der Klägerin versandten SMS-Tan ein Fremdzugriff technisch ausgeschlossen ist. Es wurde ein neues Gerät im Online-Banking der Klägerin als Freigabeinstrument im Rahmen des 2-Faktor-Authentifizierungsverfahrens hinterlegt. Hierzu war - technisch zwingend - die Eingabe der SMS-Tan erforderlich. Es ist daher davon auszugehen, dass die Klägerin durch Preisgabe der SMS-Tan Dritten eine Registrierung eines Geräts ermöglicht hat, wobei die Preisgabe persönlicher Sicherheitsmerkmale an Dritte gemäß den vertraglichen Bestimmungen untersagt war.
Das Verhalten der Klägerin ist als grob fahrlässig zu bewerten. Es ist eine Sache, wenn man seine Kreditkartendaten offenbart. Diese werden bei jeder Verwendung offenbart und können auch von der Karte abgelesen werden. Die Weitergabe eines im Rahmen einer Zwei-Faktor-Autorisierung erhaltenen Zugangscodes kann nicht damit gleichgesetzt werden. Mit dieser Weitergabe hilft der Nutzer (Kläger), die Sicherheitsarchitektur grundlegend auszuhebeln. Es muss jedem verständigen Nutzer solcher Kreditkarten klar sein, welches Risiko er mit der Weitergabe derartiger Daten schafft. Die Klägerin mag dies nicht bewusst getan haben und es mag auch nicht erinnerlich sein. Indessen lässt sich der Vorgang plausibel nicht anders erklären.
Beratermodul WM / WuB Wirtschafts- und Bankrecht
WM und WuB in einem Modul: Die WM Zeitschrift für Wirtschafts- und Bankrecht informiert wöchentlich aktuell und umfassend im Rechtsprechungsteil über Urteile und Beschlüsse der Gerichte. Die WuB Entscheidungsanmerkungen zum Wirtschafts- und Bankrecht informieren monatlich aktuell und praxisbezogen kommentiert über alle wichtigen wirtschafts- und bankrechtlichen Entscheidungen. 4 Wochen gratis nutzen!