Chipt-TAN: LG Halle verurteilt Sparkasse nach Online-Banking Betrug

Das Landgericht Halle (Saale) hat in seinem Urteil vom 23.06.2023 (Az.: 4 O 133/22) die Sparkasse zur Erstattung nicht autorisierter Zahlungen in Höhe von EUR 39.454,- verpflichtet. Die Sparkasse hatte einen Schadensersatzanspruch aufgrund behaupteter grober Fahrlässigkeit des Kunden geltend gemacht, doch das Gericht wies diesen zurück. Die von der Sparkasse verwendete Methode des manuellen Chipt-TAN-Verfahrens erfüllte nach Ansicht des Gerichts nicht die gesetzlichen Anforderungen an eine sichere Kundenauthentifizierung.

Hintergrund:
Der klagende Kunde der Sparkasse hatte für sein betriebliches Konto einen Online-Banking-Zugang vereinbart. Dieses Konto wurde faktisch von seiner Ehefrau, die die betriebliche Buchhaltung führte, verwaltet. Das vereinbarte Authentifizierungsverfahren war das Chip-TAN Verfahren, bei dem eine TAN mittels TAN-Generators erstellt wird. Zudem wurde ein Tageslimit für Überweisungen von EUR 10.000,00 festgelegt.
Im Oktober 2020 buchten unbekannte Täter insgesamt EUR 59.000,- vom Tagesgeldkonto des Kunden auf dessen Geschäftskonto. Sie erhöhten das Tageslimit von EUR 10.000,- auf EUR 94.999,- und führten zwei Überweisungen auf ein dem Kläger unbekanntes Konto in Höhe von EUR 7.222,- und EUR 7.445,- durch. Am Folgetag erhöhten die Täter erneut das Tageslimit und überwiesen EUR 8.787,- und EUR 16.000,-.
Nachdem der Kläger den Missbrauch bemerkte, sperrte er sein Konto und verlangte von der Sparkasse die Rückbuchung der nicht autorisierten Beträge, was die Sparkasse unter Hinweis auf vermeintlich grob fahrlässiges Verhalten des Klägers ablehnte.
Der Kunde erhob daraufhin Klage vor dem LG Halle.

Entscheidung des Gerichts:
Das Landgericht Halle gab der Klage des Kunden statt und verurteilte die Sparkasse zur Rückzahlung der unautorisierten Beträge. Das Gericht entschied, dass die Bank keinen Schadensersatzanspruch aufgrund grob fahrlässiger Sorgfaltspflichtverletzung geltend machen könne, da das von der Bank verwendete manuelle Chipt-TAN-Verfahren nicht den Anforderungen an eine sichere Kundenauthentifizierung entspreche. Nach Aussagen der als Zeugin gehörten Ehefrau konnte sie während der Nutzung des TAN-Generators anhand der Displayanzeige nicht erkennen, dass es sich um Zahlungsvorgänge oder damit zusammenhängende Zahlungsdiensteaufträge handelte. Im Display des TAN-Generators wurde nicht angezeigt, dass es sich um eine IBAN des Zahlungsempfängers oder um Zahlungsbeträge handelte. Daher fehlte nach Ansicht des Gerichts die für eine sichere Kundenauthentifizierung erforderliche Anzeige des Zahlungsbetrags und des Zahlungsempfängers. Das Gericht folgerte, dass ein Schadensersatzanspruch der Bank gemäß § 675v Abs. 4 BGB gesetzlich ausgeschlossen sei.
Obwohl dies im konkreten Verfahren nicht relevant war, wies das Gericht darauf hin, dass die Bank auch ein Mitverschulden getroffen hätte, da das vereinbarte Tageslimit nicht eingehalten wurde. Die Sparkasse hätte selbst bei Annahme eines Schadensersatzanspruchs gegen den Kläger den überwiegenden Schaden übernehmen müssen.