Phishing-Attacke: Deutsche Bank muss Kundin EUR 40.000,00 erstatten

Das Landgericht Frankfurt am Main hat die Deutsche Bank AG verurteilt, ihrer Kundin nach einer Phishing-Attacke EUR 40.000,00 zu erstatten. Täter hatten sich u. a. über eine zweite SIM-Karte unbemerkt Zugriff auf das Online-Banking der Kundin bei der Postbank (nunmehr Deutsche Bank) verschafft und sich über das mobileTAN-Verfahren EUR 40.000,00 überwiesen.  Das Landgericht sah die Überweisung als nicht von der Kundin veranlasst an und bejahte eine Erstattungspflicht nach § 675u BGB. Der Einwand der Bank, das mobileTAN-Verfahren im Online-Banking sei als sicher zu qualifizieren und von einer der Kundin veranlassten Überweisung auszugehen, folgte das Gericht nicht. Das Urteil wurde von Rechtsanwalt Philipp Neumann, Kanzlei 2vier2, erstritten und ist rechtskräftig (LG Frankfurt am Main, Urteil v. 28.07.2022, Az. 2-05 O 493/19).

Angriff auf mobileTAN-Verfahren

Im Rahmen des mobileTAN-Verfahrens übermittelt die Bank per SMS auf das Mobiltelefon der Kunden die Transaktionsnummer (TAN) zur Freigabe der Überweisung für das Online-Banking. Im vorliegenden Fall hatten sich die Täter unbemerkt Zugriff auf das Online-Banking-Portal der Kundin verschafft und über eine zweite SIM-Karte für den Mobilfunkanschluss der Kundin die Transaktionsnummer für die vorgetäuschte Überweisung abgefangen und verwendet.  

Betrügerisches Handeln der Täter war offenkundig

Das Gericht hegte am betrügerischen Vorgehen Dritter keinen Zweifel. Klägerseits konnte anhand der staatsanwaltlichen Ermittlungsergebnisse hinreichend belegt werden, dass die Täter auch Gelder von anderen Konten abgeschöpft hatten. Zudem war die Kundin bei der Erstellung der zweiten SIM-Karte für das Mobiltelefon nachweislich nicht eingebunden. Vermutungen der Bank, die Kundin sei an dem Betrug und der Überweisung beteiligt gewesen, wies das Gericht als nicht begründet zurück. Ebenso bejahte das Gericht, dass die Kundin hinreichende Sicherheitsvorkehrungen getroffen habe. Diese behandelte ihre Zugriffsdaten vertraulich und schützte ihren Computer mit einem Virenschutzprogramm und regelmäßigen Updates. Danach konnte für das Gericht offenbleiben, wie die Täter sich konkret Zugriff auf das Online-Banking-Portal verschafft hatten. Eine Pflichtverletzung der Kundin war für das Gericht nicht ersichtlich.

Die Rechtslage in Phishing-Fällen

Gemäß § 675u BGB haften Banken grundsätzlich für nicht vom Kunden veranlasste Überweisungen und haben unbefugt überwiesene Beträge an den Kunden zu erstatten. Die Beweislast dafür, dass die Überweisung mit Zustimmung des Kunden stattgefunden hat, trägt grundsätzlich die Bank. Banken verweigern in Phishing-Fällen häufig von vornherein eine Erstattung und verweisen auf ein unüberwindbares Sicherungssystem der Bank. Die Rechtsprechung agiert hier differenzierter und sieht u. a. das mobileTAN-Verfahren grundsätzlich als überwindbar an (vgl. u. a. BGH, Urt. v. 26.01.2016, Az. XI ZR 91/14). Trotz dieser für Kunden günstigen Beweislage ist m Prozess sinnvoll, dem Gericht den Phishing-Fall deutlich darzulegen und Einwände Bank deutlich auszuräumen. So kommt es immer wieder vor, dass unterinstanzliche Gerichte dazu tendieren, eine Erstattungspflicht der Bank zu verneinen, da sie eine Pflichtverletzung beim Kunden vermuten bzw. keine Schuld bei der Bank sehen. Hingegen sieht der Gesetzgeber für die Erstattungspflicht der Bank kein Verschulden vor. Eine Pflichtverletzung des Kunden ist zudem nur dann relevant, wenn der Kunde grob fahrlässig gehandelt hat. Folglich sollte von Klägerseite im Streitfall vor Gericht lieber "mehr als nötig" vorgetragen werden.