Missbrauch von Zahlungsinstrumenten

Nach § 675u Satz 2 BGB sind Banken verpflichtet, nicht autorisierte Zahlungsvorgänge unverzüglich an Bankkunden zu erstatten. Aber diese Verpflichtung ist nicht absolut: Banken können eine Erstattung verweigern, wenn sie nachweisen, dass der Kunde selbst betrügerisch oder grob fahrlässig gehandelt hat (§ 675v Abs. 3 BGB).

Einwand der groben Fahrlässigkeit

Grobe Fahrlässigkeit wird angenommen, wenn Kunden die gebotene Sorgfalt in besonders schwerem Maße außer Acht lassen. Eine solche Sorgfaltspflichtverletzung wurde z.B. in folgenden Fällen angenommen:

• Wenn ein Kunde PIN und Karte zusammen aufbewahrt oder Zugangsdaten ungesichert auf elektronischen Geräten speichert.

• Wenn verdächtige Transaktionen nicht rechtzeitig bemerkt und gemeldet werden.

• Wenn der Kunde auf E-Mails oder SMS eingeht, die offensichtlich in betrügerischer Absicht versandt wurden und trotz deutlich erkennbarer Warnzeichen sensible Informationen preisgibt.

Beweislast der Bank

Banken tragen die Beweislast, wenn sie behaupten, dass Kunden grob fahrlässig gehandelt haben. Dabei muss die Bank detailliert darlegen, wie der Kunde seine Pflichten verletzt hat. In der Rechtsprechung wird an den Nachweis der groben Fahrlässigkeit hohe Anforderungen gestellt. Banken können sich dazu nicht auf einen Anscheinsbeweis stützen (BGH, Urteil vom 26.01.2016 - XI ZR 91/14).

Verpflichtungen der Banken zur Prävention

Kreditinstitute sind aufsichtsrechtlich verpflichtet, Sicherheitsvorkehrungen wie Zwei-Faktor-Authentifizierung und Monitoring-Systeme einzusetzen (§ 24h KWG). Versagt ein solches System oder unterlässt die Bank Warnungen bei verdächtigen Transaktionen, kann dies aber nicht zwangsläufig als Verletzung ihrer Nebenpflichten gewertet werden und Schadensersatzansprüche begründen.

BGH, Urteil vom 05.03.2024 - XI ZR 107/22

Sachverhalt: Die Klägerin verlangte von der beklagten Bank die Erstattung von 255.395,61 €, die durch nicht autorisierte Überweisungen von ihrem Konto abgebucht wurden. Die Überweisungen erfolgten aufgrund gefälschter E-Mails, die an einen Mitarbeiter der Bank gesendet wurden und angeblich von der Klägerin stammten. Diese E-Mails enthielten Absenderdaten, die denen der Klägerin entsprachen, sowie Rechnungen, die Zahlungsempfänger und Beträge auswiesen. Tatsächlich waren diese Rechnungen gefälscht, und die angegebenen Zahlungsempfänger existierten nicht. Die Zahlungen gingen an Konten in Ungarn, Dubai und Großbritannien. Die Bank verweigerte die Rückzahlung und argumentierte, dass die Klägerin durch ihr Verhalten die Überweisungen autorisiert oder zumindest stillschweigend genehmigt habe.

Entscheidung: Der BGH entschied zugunsten der Klägerin und wies die Revision der beklagten Bank zurück. Die Bank wurde verpflichtet, den abgebuchten Betrag zu erstatten.

Begründung:

Die Bank konnte sich nicht darauf berufen, dass die Klägerin die streitigen Überweisungen ausdrücklich oder konkludent autorisiert hatte.

Die Bank konnte sich auch nicht auf eine konkludente Genehmigung der Zahlungen berufen, da die Kontoauszüge der Klägerin nicht als „Rechnungsabschluss“ im Sinne der Allgemeinen Geschäftsbedingungen (AGB) der Bank qualifiziert werden konnten.

Die Bank konnte der Klägerin keinen Schadensersatzanspruch entgegenhalten, da es keine Beweise für eine Pflichtverletzung der Klägerin, wie z. B. die mangelnde Kontrolle von Kontoauszügen, gab.

OLG Bremen, Beschluss vom 30. August 2024 – Az. 1 U 32/24

Sachverhalt: Der Kläger wurde Opfer eines sogenannten Call-ID-Spoofing-Angriffs. Ein Betrüger gab sich telefonisch als Bankmitarbeiter aus und überzeugte den Kläger, eine pushTAN zur angeblichen Rückbuchung freizugeben. Tatsächlich autorisierte der Kläger jedoch eine Überweisung an einen Dritten. Die Bank verweigerte die Erstattung des Betrags und berief sich auf grobe Fahrlässigkeit des Klägers.

Entscheidung: Das Gericht entschied, dass der Kläger durch die Freigabe der pushTAN grob fahrlässig handelte und somit keinen Anspruch auf Erstattung hat.

Leitsätze des Gerichts:

1. Gibt ein Zahler im Online-Banking aufgrund einer Täuschung durch einen vermeintlichen Bankmitarbeiter im Wege des pushTAN-Verfahrens einen Zahlungsvorgang frei in der Annahme, damit eine Rückbuchung freizugeben, dann ist dies aus Sicht des Zahlungsdienstleisters als Autorisierung des Zahlungsvorgangs nach § 675j Abs. 1 BGB zu verstehen.

2. Die Erteilung einer Autorisierung nach § 675j BGB kann als Willenserklärung des Zahlers nach allgemeinen Regeln durch den Zahler angefochten werden und die Anfechtung ist auch nicht auf Fälle des § 123 BGB begrenzt.

3. Ein durch die Täuschung durch einen vermeintlichen Bankmitarbeiter veranlasster Irrtum des Zahlers darüber, dass die vom ihm erteilte Autorisierung nicht für eine Rückbuchung an ihn selbst erteilt wird, sondern für eine Überweisung an einen Dritten, kann einen zur Anfechtung berechtigenden Inhaltsirrtum des Zahlers nach § 119 Abs. 1 BGB begründen.

4. Wird die Autorisierung eines Zahlungsauftrags durch den Zahler wirksam angefochten, dann kann dem Zahlungsdienstleister ein Schadensersatzanspruch gegen den Zahler aus § 122 BGB zustehen. Dieser Anspruch unterliegt auch nicht den gesteigerten Verschuldensanforderungen und weiteren Einschränkungen nach § 675v BGB.

5. Die Nichtbeachtung einer nach § 675k Abs. 1 BGB vereinbarten Betragsobergrenze bei der Autorisierung eines Zahlungsvorgangs führt zur Unwirksamkeit der Autorisierung.

6. Mit der Erteilung einer Autorisierung durch einen Zahler durch Freigabe einer pushTAN aufgrund einer Täuschung durch einen vermeintlichen Bankmitarbeiter, bei der der Zahler lediglich den mündlichen Angaben und Anweisungen eines unbekannten Dritten folgt, setzt der Zahler im Sinne des § 675l Abs. 1 Satz 1 BGB sein personalisiertes Sicherheitsmerkmal einem unbefugten Zugriff aus.

7. Die Erteilung einer Autorisierung durch einen Zahler durch Freigabe einer pushTAN auf die telefonische Aufforderung eines unbekannten Dritten hin begründet den Vorwurf grober Fahrlässigkeit. Dem Vorwurf grober Fahrlässigkeit steht es auch nicht entgegen, wenn der vermeintliche Bankmitarbeiter Kenntnisse von kontobezogenen Daten des Zahlers hat und der Anruf unter Anzeige der Rufnummer des Zahlungsdienstleisters erfolgt (Call-ID Spoofing).

LG Heilbronn, Urteil vom 27. August 2024 – Az. Bm 6 O 103/24

Sachverhalt: Die Klägerin und ihr Ehemann, Kontoinhaber eines gemeinschaftlichen Girokontos bei der Beklagten, forderten die Rückerstattung von 34.999,76 €, die durch nicht autorisierte Transaktionen mit einer digitalen Kreditkarte von ihrem Konto abgebucht worden waren. Die Klägerin gab an, weder eine digitale Karte beantragt noch autorisiert zu haben. Ein angeblicher Bankmitarbeiter habe jedoch telefonisch persönliche Daten und TANs erschlichen, um die Karte freizuschalten. Die Bank argumentierte, die Klägerin habe grob fahrlässig gehandelt, indem sie eine TAN weitergegeben oder die Karte selbst freigeschaltet habe.

Entscheidung: Das Gericht wies die Klage ab und gab der Beklagten Recht. Die Klägerin habe durch grob fahrlässiges Verhalten eine Mitverantwortung an den streitgegenständlichen Abbuchungen getragen.

Begründung:

Das Gericht stellte fest, dass die Abbuchungen technisch korrekt autorisiert wurden. Die Freigabe der digitalen Kreditkarte erfolgte durch Eingabe einer TAN, die an die App auf dem Smartphone der Klägerin übermittelt wurde.

Gemäß § 675w BGB trägt die Bank die Beweislast für die Autorisierung. Der Anscheinsbeweis, der für die Authentizität der Transaktionen sprach, konnte durch die Klägerin nicht erschüttert werden. Die TAN war auf das registrierte Gerät der Klägerin übermittelt worden.

Die Klägerin habe ihre Sorgfaltspflichten verletzt, indem sie entweder die TAN telefonisch weitergab oder die Karte selbst freischaltete. Besonders problematisch war, dass sie trotz erkennbarer Warnsignale, wie dem ungewöhnlichen Anrufzeitpunkt und der Aufforderung zur Eingabe einer TAN, nicht misstrauisch wurde.

Die von der Bank eingesetzten Sicherheitsvorkehrungen, einschließlich der Zwei-Faktor-Authentifizierung, wurden als ausreichend bewertet. Es gab keine Hinweise auf technische Schwachstellen oder Sicherheitsmängel.

Das Gericht verneinte eine Pflicht der Bank, ungewöhnliche Transaktionen in Echtzeit zu überwachen oder zu blockieren. Zwar seien Banken zur Vorhaltung von Betrugspräventionssystemen verpflichtet, doch umfasse dies keine proaktive Kontrolle einzelner Vorgänge und habe ausschließlich aufsichtsrechtlichen Charakter ohne unmittelbare Schutzwirkung für Zahlungsdienstnutzer.

AG Bonn, Urteil vom 24. Mai 2024 – Az. 112 C 100/23

Sachverhalt: Die Klägerin bot über eine Online-Plattform Ware zum Verkauf an. Ein vermeintlicher Käufer überzeugte sie, eine neue Zahlungsfunktion über einen angeblichen eBay-Link zu nutzen. Nach Klick auf den Link gab die Klägerin auf einer betrügerischen Webseite ihre Kreditkartendaten ein. Anschließend erhielt sie in ihrer Banking-App eine Aufforderung mit der Formulierung „Bitte bestätigen Sie, dass Sie Ihre Registrierung ändern möchten“, die sie bestätigte. Dadurch konnten die Betrüger die Kreditkarte der Klägerin missbrauchen.

Entscheidung: Das Gericht gab der Klage statt und verurteilte die Beklagte zur Wiedergutschrift der abgebuchten Beträge sowie zur Übernahme der Zinsen und außergerichtlichen Anwaltskosten.

Begründung: Das Gericht stellte fest, dass die Klägerin zwar fahrlässig gehandelt habe, indem sie die Webseite und die E-Mail nicht genauer überprüfte. Jedoch lag keine grobe Fahrlässigkeit vor, da die Klägerin die Betrugsmasche nicht offensichtlich erkennen konnte.

Die Formulierung „Registrierung ändern“ in der App wurde als unzureichend und technisch bezeichnet. Ein durchschnittlicher Nutzer könne daraus nicht erkennen, dass durch die Freigabe der vollständige Zugriff auf die Kreditkarte übertragen wird. Die Beklagte habe es versäumt, in ihrer App klare Warnhinweise zu implementieren, die auf die Tragweite der Freigabe hinweisen. Andere Banken nutzen für vergleichbare Prozesse präzisere und warnende Hinweise, die Missbrauch verhindern können.

Unverzüglich handeln

Kontrollieren Sie Ihre Umsätze regelmäßig und melden Sie nicht autorisierte Zahlungsvorgänge unverzüglich an die Bank.

Sperren Sie Ihre Karte oder Ihr Konto sofort. Hierfür können Sie auch den Sperr-Notruf 116 116 nutzen.

Anzeige erstatten

Erstatten Sie schnellstmöglich Anzeige. Zwar können die Täter meistens nicht ermittelt werden, aber Erkenntnisse aus einem Ermittlungsverfahren können für ein späteres Verfahren Beweise liefern.

Ansprüche gegenüber der Bank geltend machen

Machen Sie Erstattungsansprüche nach § 675u BGB geltend. Setzen Sie der Bank eine kurze Frist zur Zahlung.

Juristischen Beistand einholen

Wenn die Bank Ihre Ansprüche zurückweist oder gar nicht reagiert, sollten Sie einen Rechtsanwalt einschalten. Wir können Sie dabei unterstützen, Ihre Ansprüche gegenüber Banken durchzusetzen. Wir analysieren die Sach- und Rechtslage, bewerten etwaige Einwände der Gegenseite und vertreten Ihre Interessen notfalls gerichtlich.

Mit umfangreicher Erfahrung und Fachwissen im Bank- und Kapitalmarktrecht haben wir bereits zahlreiche Mandanten in Fällen von Zahlungsbetrug erfolgreich vertreten.

Jeder Fall ist einzigartig, und wir entwickeln individuelle Strategien, die Ihre Erfolgschancen maximieren. Die Betrugsmethoden entwickeln sich rasant weiter – unsere Expertise bleibt auf dem neuesten Stand der Technik und Rechtsprechung.

• Banken haften bei fehlerhafter Angabe von Effektivzinsen

• BGH erklärt Verwahrentgelte für unzulässig - Verbraucher können "Negativzinsen" von Banken zurückfordern

• Weiteres EuGH-Urteil zu fehlerhaften Zinsangaben in Verbraucherkreditverträgen