LG Köln, Urt. 10.9.2019 - 21 O 116/19
Pflichtverletzung im Online-Banking durch Weitergabe von PIN und TAN an Dritte
Autor: RA Dr. jur. Thomas Schulteis, LL.M., Gladbeck
Aus: IT-Rechtsberater, Heft 12/2019
Aus: IT-Rechtsberater, Heft 12/2019
Teilt ein Kunde einem vermeintlichen Bankmitarbeiter PIN und TAN für das Online-Banking mit, begeht er eine grob fahrlässige Pflichtverletzung, die einen Schadensersatzanspruch der Bank aus § 675v Abs. 3 Nr. 2 BGB begründet, mit dem sie gegen Erstattungsansprüche des Kunden aus § 675u Satz 2 BGB für nicht autorisierte Überweisungen aufrechnen kann.
LG Köln, Urt. v. 10.9.2019 - 21 O 116/19
BGB §§ 675u Satz 2, 675v Abs. 3 Nr. 2; GKG § 45 Abs. 1 Satz 3; ZPO §§ 91, 709 Satz 1 u. 2
Mitte 2018 erhielt der Kunde einen Anruf von einem vermeintlichen Kundenbetreuer der Bank. Der Anrufer teilte ihm u.a. mit, dass sein Konto gegen unberechtigte Auslandsabbuchungen gesichert werden kann. Zur Einrichtung der angeblichen Kontoabsicherung teilte der Anrufer dem Kunden eine neue Kennnummer und eine neue PIN für die Eröffnung von Online-Banking-Sitzungen mit. Kurz darauf erhielt der Kunde eine TAN, die er telefonisch an den Anrufer weitergab. Nachfolgend betrieb der Kunde mit seinen neuen Kenndaten Online-Banking-Sitzungen. Vom 7.1. bis 9.1.2019 wurden ohne Berechtigung des Kunden von dessen Konto Überweisungen i.H.v. insgesamt 21.800 € auf ein Konto einer türkischen Bank ausgeführt.
Kein Zahlungsanspruch: Ein Zahlungsanspruch stehe dem Kunden von vornherein nicht zu. Denn selbst wenn die Überweisung von einem Zahlungskonto unberechtigt gewesen wäre, sei der Anspruch des Zahlers gem. § 675u Satz 2 BGB allenfalls auf Erstattung durch eine Gutschrift des schon belasteten Betrags und nicht auf eine Zahlung gerichtet.
Kein Erstattungsanspruch: Der Kunde habe aber auch keinen Erstattungsanspruch mehr aus § 675u Satz 2 BGB gegen die Bank. Zwar habe der Anspruch aufgrund der nicht autorisierten Überweisungen vom 7.1. bis 9.1.2019 grundsätzlich bestanden. Jedoch habe die Bank dem Erstattungsanspruch einen eigenen Schadenersatzanspruch nach § 675v Abs. 3 Nr. 2 BGB entgegenhalten können, den sie mit der Klageforderung aufgerechnet habe.
Sorgfaltspflichtverletzung: Der Kunde habe seine Sorgfalts- und Mitwirkungspflichten aus den vereinbarten Bedingungen für die Nutzung des Online-Bankings verletzt, wonach er dafür zu sorgen habe, dass keine andere Person Kenntnis von seiner PIN und von seinen TANs erlange. Gegen diese Verpflichtung habe er verstoßen, indem er dem Anrufer als angeblichen Bankmitarbeiter eine TAN weitergegeben habe, die es diesem ermöglicht habe, seine eigene Mobiltelefonnummer für die spätere Abfrage von computergenerierten TANs zu hinterlegen.
Grobe Fahrlässigkeit: Diese vertragliche Sorgfaltspflicht habe der Kunde grob fahrlässig verletzt. So hätte ihm bereits auffallen müssen, dass für ein Kreditinstitut die telefonische Ankündigung eines angeblichen Mitarbeiters, ihm eine TAN zu schicken, um die bisherige Kennnummer und die bisherige PIN zu ändern, absolut außergewöhnlich sei. Noch unvereinbarer mit den Usancen im Bankverkehr sei, dass ein Mitarbeiter die telefonische Nennung der TAN verlange.
LG Köln, Urt. v. 10.9.2019 - 21 O 116/19
BGB §§ 675u Satz 2, 675v Abs. 3 Nr. 2; GKG § 45 Abs. 1 Satz 3; ZPO §§ 91, 709 Satz 1 u. 2
Das Problem
Ein Kunde unterhielt bei einer Bank ein Girokonto und nutzte deren Online-Banking im sog. SMS-TAN-Verfahren. Dabei eröffnet der Nutzer durch Eingabe eines nur ihm bekannten Benutzernamens und eines Kennworts eine Online-Sitzung; seine Überweisungen und sonstigen Aufträge im Online-Banking gibt er dann mit einer TAN frei, die ihm per SMS an die hinterlegte Mobilfunknummer gesendet wird. Die Bank führt den Auftrag aus, sofern der Nutzer die korrekte TAN für den Auftrag in der Online-Banking-Maske eingibt.Mitte 2018 erhielt der Kunde einen Anruf von einem vermeintlichen Kundenbetreuer der Bank. Der Anrufer teilte ihm u.a. mit, dass sein Konto gegen unberechtigte Auslandsabbuchungen gesichert werden kann. Zur Einrichtung der angeblichen Kontoabsicherung teilte der Anrufer dem Kunden eine neue Kennnummer und eine neue PIN für die Eröffnung von Online-Banking-Sitzungen mit. Kurz darauf erhielt der Kunde eine TAN, die er telefonisch an den Anrufer weitergab. Nachfolgend betrieb der Kunde mit seinen neuen Kenndaten Online-Banking-Sitzungen. Vom 7.1. bis 9.1.2019 wurden ohne Berechtigung des Kunden von dessen Konto Überweisungen i.H.v. insgesamt 21.800 € auf ein Konto einer türkischen Bank ausgeführt.
Die Entscheidung des Gerichts
Die Klage auf Erstattung der überwiesenen Beträge hat keinen Erfolg.Kein Zahlungsanspruch: Ein Zahlungsanspruch stehe dem Kunden von vornherein nicht zu. Denn selbst wenn die Überweisung von einem Zahlungskonto unberechtigt gewesen wäre, sei der Anspruch des Zahlers gem. § 675u Satz 2 BGB allenfalls auf Erstattung durch eine Gutschrift des schon belasteten Betrags und nicht auf eine Zahlung gerichtet.
Kein Erstattungsanspruch: Der Kunde habe aber auch keinen Erstattungsanspruch mehr aus § 675u Satz 2 BGB gegen die Bank. Zwar habe der Anspruch aufgrund der nicht autorisierten Überweisungen vom 7.1. bis 9.1.2019 grundsätzlich bestanden. Jedoch habe die Bank dem Erstattungsanspruch einen eigenen Schadenersatzanspruch nach § 675v Abs. 3 Nr. 2 BGB entgegenhalten können, den sie mit der Klageforderung aufgerechnet habe.
Sorgfaltspflichtverletzung: Der Kunde habe seine Sorgfalts- und Mitwirkungspflichten aus den vereinbarten Bedingungen für die Nutzung des Online-Bankings verletzt, wonach er dafür zu sorgen habe, dass keine andere Person Kenntnis von seiner PIN und von seinen TANs erlange. Gegen diese Verpflichtung habe er verstoßen, indem er dem Anrufer als angeblichen Bankmitarbeiter eine TAN weitergegeben habe, die es diesem ermöglicht habe, seine eigene Mobiltelefonnummer für die spätere Abfrage von computergenerierten TANs zu hinterlegen.
Grobe Fahrlässigkeit: Diese vertragliche Sorgfaltspflicht habe der Kunde grob fahrlässig verletzt. So hätte ihm bereits auffallen müssen, dass für ein Kreditinstitut die telefonische Ankündigung eines angeblichen Mitarbeiters, ihm eine TAN zu schicken, um die bisherige Kennnummer und die bisherige PIN zu ändern, absolut außergewöhnlich sei. Noch unvereinbarer mit den Usancen im Bankverkehr sei, dass ein Mitarbeiter die telefonische Nennung der TAN verlange.