Online-Banking-Betrug: Sparkasse muss Fehlbeträge erstatten

Landgericht Köln: Keine grobe Fahrlässigkeit bei Rufnummer-Manipulation (Call-ID Spoofing)

Mit Urteil vom 08.01.2024, 22 O 43/22, sprach das Landgericht Köln dem Kläger (Sparkassen-Kunde) die volle Erstattung der - ihm auf betrügerische Weise – entwendeten Geldbeträge durch die Beklagte (Sparkasse) zu.

Kläger wurde durch Call-ID Spoofing um 14.000 Euro betrogen

Der Betrug startete mit einem Anruf bei dem Kläger unter Anzeige der vermeintlichen Telefonnummer (Call-ID Spoofing) der Beklagten. Die Person am anderen Ende stellte sich als Mitarbeiter der Beklagten vor und teilte mit, dass sein Konto sowie seine Karte aufgrund aktueller Betrugsvorfälle vorsorglich gesperrt wurden.

Nachdem der Kläger die Frage nach verdächtigen Kontobewegungen verneinte, bot man ihm eine Entsperrung mittels Freigabe via Online-Banking, für welches sein Konto freigeben ist, an.

S-pushTAN-Verfahren als Authentifizierungsinstrument

Für die Nutzung des Online-Bankings hatte sich der Kläger für das S-pushTAN-Verfahren entschieden (Tan als elektronische Unterschrift). Mit Hilfe dieses Verfahrens werden Überweisungen oder auch andere Handlungen ermöglicht, beispielsweise die Freischaltung von ApplePay.

Kreditkarte dupliziert

Der Kläger nahm das Angebot der Entsperrung/Freigabe an, befolgte die Anweisungen in der pushTan App. und gab einen Auftrag mit dem Text "Registrierung Karte" frei. Tatsächlich bestätigte er damit jedoch einen durch die Täter initiierte Registrierung einer digitalen Version seiner Kreditkarte zur Speicherung auf einem mobilen Endgerät. Diese installierten die Täter auf deren mobilen Endgerät und konnten infolgedessen Teilbeträge in Höhe von rund 14.000 Euro via ApplePay von dem Konto des Klägers entwenden.

Sparkasse plädierte auf grobe Fahrlässigkeit – Ohne Erfolg!

Das Landgericht Köln sieht kein Verschulden des Klägers. Auszug aus dem Urteil:

"Diese Einschätzung stützt das Gericht zum einen darauf, dass sich die Täter des sog. Call-ID Spoofings bedienten. Dem Kläger wurde infolgedessen die Nummer der Beklagten angezeigt, als die Täter ihn anriefen. Für einen verständigen, langjährigen Bankkunden ist die Nutzung einer ihm bekannten Nummer mit besonderem Vertrauen verbunden. Davon, dass die Möglichkeit besteht, eine fremde Nummer zu nutzen, dürfte der Durchschnittsbürger keine Kenntnis haben. Dass dem Kläger der angebliche Mitarbeiter der Beklagten nicht bekannt war, ist für sich genommen noch kein besonders verdächtiger Umstand. In einer großen Organisation wie der der Beklagten herrscht regelmäßig eine gewisse Fluktuation bzw. es findet eine Arbeitsteilung statt, sodass die Bankkunden nicht mehr zwingend nur mit einem Mitarbeiter in Kontakt stehen.

Etwas anderes gilt auch nicht aufgrund der Bezeichnung des Auftrags in der pushTAN App als „Registrierung Karte“. Zwar gab der Anrufer vor, er wolle die Karte des Klägers entsperren, nicht registrieren. Allerdings ist die Bezeichnung „Registrierung“ derart weit, dass für den Kläger – vor allem in der Überrumpelungssituation, in der er sich befand [...]. Dabei wäre es der Beklagten ohne weiteres möglich gewesen, durch einen eindeutigen Text, insbesondere durch Verwendung eines Hinweises gerade auf ApplePay dem Kunden deutlich vor Augen zu führen, welcher Zahlungsdienst hier freigegeben werden soll, um so ersichtlich zu machen, dass es um Endgeräte eines bestimmten Herstellers und die Nutzung als Wallet, nicht einer Karte geht [...].

Bei der hier vorliegenden Gestaltung konnte der Kläger den Text in der pushTAN App dem eigentlichen Vorgang nicht zuordnen. Im Übrigen ergibt sich aus der Formulierung des Warntextes, es sei „kein Auftrag“ freizugeben, der nicht „explizit beauftragt“ wurde, nach seinem natürlichen Wortsinn nicht, dass der Auftrag zwingend über die Online-Banking App erfolgt sein muss. Der Kläger durfte davon ausgehen, dass sein – vermeintlich − telefonisch erteilter „Auftrag“ diese Voraussetzungen ebenso erfülle. Der Vorgang und auch der Pflichtenverstoß des Klägers ist daher bereits nicht allein dessen Verantwortungsbereich anzulasten."

Insgesamt habe der Kläger vielmehr in gutem Glauben gehandelt.

Sparkasse muss Fehlbetrag ersetzen

Vorgerichtlich hatte die Beklagte bereits einen Betrag in Höhe von rund 4.000 Euro erstattet. Die Zahlung des Restbetrages von knapp 10.000 Euro obliegt ihr nach Urteil des Landgerichts Kölns ebenfalls.

SFW Baumeister & Partner – Nutzen Sie unsere kostenfreie Erstberatung!