Ein Bankkunde, der im Rahmen eines
Phishing-Angriffs Transaktionsnummern (TAN) an unbekannte Dritte weitergibt, kann wegen grober Fahrlässigkeit selbst dann schadensersatzpflichtig sein, wenn der Zahlungsvorgang ohne seine tatsächliche Autorisierung ausgelöst wurde. Maßgeblich ist, ob der Kunde in ungewöhnlicher und klar verdächtiger Situation naheliegende Sicherheitsmaßnahmen unterlassen und dadurch gegen die Pflicht zum Schutz seiner personalisierten Sicherheitsmerkmale (§ 675l Abs. 1 BGB) in schwerwiegender Weise verstoßen hat.
Im zugrunde liegenden Fall erhielt die Kundin nach einem fehlgeschlagenen PIN-Änderungsversuch einen Anruf, bei dem sich die Täterin als Bankmitarbeiterin ausgab und die Installation eines neuen Sicherheitsprogramms vortäuschte. Die Kundin gab in zwei aufeinanderfolgenden Telefonaten mehrere TANs weiter, ohne sich bei der Bank rückzuversichern. Dabei musste sie Empfänger-IBAN und hohe Überweisungsbeträge eingeben - Umstände, die ersichtlich nicht zu einer bloßen Identitätsprüfung oder Softwareinstallation passten.
Das Gericht wertete dieses Verhalten als grob fahrlässig: Die Klägerin habe trotz ausreichender Bedenkzeit eindeutige Warnsignale ignoriert, unter anderem den ungewöhnlichen Zeitpunkt der Anrufe, die Forderung nach TAN-Eingabe für fremde Kontoverbindungen sowie den atypischen Ablauf der angeblichen Sicherheitsmaßnahme. Ein „Augenblicksversagen“ lag nicht vor, da zwischen dem ersten und zweiten Telefonat fast ein Tag lag.
Die Bank durfte den Anspruch des Kunden auf Erstattung des unautorisierten Zahlungsvorgangs mit ihrem Schadensersatzanspruch aufrechnen (§ 675v Abs. 3 Nr. 2 BGB i.V.m. § 242 BGB). Der Haftungsausschluss nach § 675v Abs. 4 Satz 1 Nr. 1 BGB griff nicht ein, da für die konkrete Überweisung eine starke Kundenauthentifizierung verlangt worden war. Ein Mitverschulden der Bank wurde verneint, weil das schwerwiegende Fehlverhalten der Kundin den Schaden maßgeblich verursachte.
Bankkunden tragen bei der Nutzung des Online-Bankings eine gesteigerte Eigenverantwortung. Wer in verdächtigen Situationen TANs preisgibt, handelt grob fahrlässig und muss unter Umständen den entstandenen Schaden selbst tragen.
