Wird der Registrierungscode für die Einrichtung des TAN-Verfahrens an Dritte weitergegeben, so handelt es sich um einen Verstoß gegen die Pflicht zum Schutz personalisierter Sicherheitsmerkmale sowie gegen vertragliche Vereinbarungen der „Bedingungen für das Online-Banking“.
Die Sorgfaltspflichten werden in ungewöhnlich grobem Maße verletzt, wenn der Registrierungscode aus der SMS weitergegeben wird, obwohl unmittelbar unter dem Code der Warnhinweis steht: „Bitte leiten Sie diese SMS nicht an dritte Personen weiter! Kein Mitarbeiter wird Sie um Weitergabe dieser Daten bitten.“
In einem solchen Fall besteht keine Verpflichtung des Kreditinstituts zur Erstattung des beim Kunden entstandenen Schadens.
Der Entscheidung lag der nachfolgende Sachverhalt zugrunde:
Der Kläger begehrt von der Beklagten Zahlungen vor dem Hintergrund nicht autorisierter Abbuchungen von seinem Konto.
Der Kläger unterhält bei der Beklagten das Konto mit der Nummer…. Dieses wird von dem Kläger auch zum Online-Banking genutzt – allerdings nur über seinen privaten Computer und das Mobiltelefon seiner Lebensgefährtin. Gleichwohl ist die Telefonnummer +49…. für sein Mobiltelefon ebenfalls bei der Beklagten hinterlegt. Im Rahmen des Abschlusses des zugrundeliegenden Online-Banking-Vertrags akzeptierte der Kläger die sogenannten „Bedingungen für das Online-Banking“, nach deren Ziff. 7.1 der Kunde Authentifizierungselemente vor unbefugten Dritten schützen muss. Zusätzlich darf er gemäß Ziff. 7.1.2(b) sensible Inhalte, Codes oder Links zur Zurücksetzung einer PushTan-Verbindung nicht an Dritte weitergeben. Die Beklagte warnt auf ihrer Internetseite regelmäßig vor betrügerischen Anrufen.
Das Online Banking der Beklagten ist zum Schutz vor unberechtigten Zugriffen dergestalt ausgestaltet, dass Kontoverfügungen nur mittels Nutzung zweier unabhängiger Plattformen, nämlich über die „…-App“ oder die Internetseite für das Online-Banking der Beklagten – und – die PushTan-App oder das chip TAN-Verfahren, erfolgen können. Alle Verfügungen oder sonstigen Transaktionen im Online-Banking müssen dementsprechend vom jeweiligen Kunden gegenüber der Beklagten über den jeweiligen Legitimationsweg (pushTan oder chipTan) freigegeben bzw. bestätigt werden.
Am 11. Januar 2023 rief ein vermeintlicher Mitarbeiter der Beklagten den Kläger um 16:19 Uhr auf seinem Mobiltelefon angerufen. Um 16:23 Uhr erhielt der Kläger einen zweiten Anruf durch den vermeintlichen Mitarbeiter der Beklagten. Am 12. Januar 2023 um 16:11 Uhr bekam der Kläger einen weiteren Anruf des vermeintlichen Mitarbeiters der Beklagten. Während dieses letzten Telefonats forderte der Anrufer den Kläger auf, die Internetseite „….info“ zu öffnen. Die Internetseite diktierte er dabei Wort für Wort. Der Kläger rief die Internetseite auf. Sodann kündigte der Anrufer an, er, der Kläger, werde gleich einen Link per SMS auf sein Mobiltelefon erhalten. Diesen müsse er in die entsprechende Eingabemaske auf der Internetseite sowie seinem Namen eintragen. Der Kläger erhielt daraufhin tatsächlich per SMS einen Link von Beklagten auf sein Mobiltelefon. Die SMS enthielt dabei den Warnhinweis:
„Bitte leiten Sie diese SMS nicht an dritte Personen weiter! Kein Mitarbeiter wird Sie um Weitergabe dieser Daten bitten.“
Bei dem Link handelte es sich um einen Code der Beklagten zum Zwecke der Rücksetzung/Neueinrichtung einer pushTAN-Verbindung in der Push TAN-App. Um das Rücksetzung- bzw. Neueinrichtung in Gang zu setzen ist zwingend erforderlich, dass die jeweilige Person auf das Online-Banking des jeweiligen Kontos zugreifen kann. Den Link bzw. Registrierungscode versendet die Beklagte hierbei – wie im vorliegenden Fall – ausschließlich auf bei ihr hinterlegte Telefonnummern.
Entsprechend den Anweisungen des Anrufers gab der Kläger sodann die Daten in die Eingabemaske auf der besagten Internetseite ein. Er ging hierbei davon aus, dass er die Daten damit keinem Dritten, sondern der Beklagten mitteilt. Daraufhin erschien eine Nachricht, dass die AGB erfolgreich aktualisiert seien.
Zwischen dem 13. und 16. Januar 2023 kam es auf dem Konto des Klägers bei der Beklagten zu Abbuchungen in Höhe von insgesamt 9.979,63 €, die der Kläger selbst nicht zuvor veranlasste. Hiervon erlangte der Kläger am 16. Januar 2023 Kenntnis, als er – wie jeden Montag – Büroarbeiten verrichtete und aus diesem Anlass auch die Konten überprüfte. Daraufhin veranlasste er unverzüglich die Sperrung des Kontos.
Der Kläger machte gegenüber der Beklagten in der Folgezeit Ansprüche auf Erstattung des genannten Betrages aufgrund nicht autorisierter Abbuchungen geltend.
Zum Weiterlesen bitte anmelden oder kostenlos und unverbindlich registrieren.
